F5最新CVE漏洞說(shuō)明

尊敬的客戶：

您好！

作為安全漏洞持續(xù)管理的一部分，F(xiàn)5在8月24日發(fā)布了BIG-IP和BIG-IQ的新漏洞和更新。對(duì)漏洞及時(shí)披露和有效補(bǔ)救是我們安全實(shí)踐的核心訴求，這反映了我們保持警惕并專(zhuān)注于不斷改進(jìn)的不懈努力。

我們知道漏洞管理對(duì)客戶系統(tǒng)的安全性和穩(wěn)定性至關(guān)重要，我們將與您的團(tuán)隊(duì)合作確定所需執(zhí)行的行動(dòng)及其優(yōu)先順序。我們將盡快為相關(guān)人員安排會(huì)議或電話溝通，并一起審查相關(guān)的補(bǔ)救計(jì)劃。

您可以在AskF5上找到安全公告的詳細(xì)信息和推薦的緩解措施的最新?tīng)顟B(tài)。

（https://support.f5.com/csp/article/K50974556）

CVE列表及詳情概述:

注：

1.管理BIG-IP系統(tǒng)時(shí)使用唯一且隔離的Web瀏覽器，并將系統(tǒng)訪問(wèn)限制為僅允許受信任的用戶。由于此攻擊是由合法的、經(jīng)過(guò)身份驗(yàn)證的用戶進(jìn)行的，因此在仍允許用戶訪問(wèn)配置實(shí)用程序的同時(shí)，沒(méi)有可行的緩解措施。唯一的緩解措施是刪除任何不完全受信任的用戶的訪問(wèn)權(quán)限。即：

通過(guò)配置針對(duì)httpd的allow ip限制只有受信用戶通過(guò)處于可信安全網(wǎng)絡(luò)中的可信設(shè)備才可訪問(wèn)BIG-IP系統(tǒng)管理接口的TCP443端口；

通過(guò)self IP的Port Lockdown設(shè)置進(jìn)行訪問(wèn)控制。設(shè)置為Allow None將不允許self IP的所有協(xié)議端口被訪問(wèn)。如果必須允許某些協(xié)議端口被訪問(wèn)，可通過(guò)Allow Custom進(jìn)行設(shè)置，必須不允許TMUI默認(rèn)使用的TCP 443端口被訪問(wèn)才可以達(dá)到緩解目的。

2.建議系統(tǒng)配置為HA集群，并配置HA表采取特定的動(dòng)作，以避免業(yè)務(wù)流量中斷。

如果您有任何疑問(wèn)，請(qǐng)隨時(shí)與我們保持聯(lián)系，我們將盡快安排與您及團(tuán)隊(duì)的后續(xù)跟進(jìn)與問(wèn)題的解決。

順祝商祺

F5中國(guó)

2021年8月25日