多款F5产品任意命令执行漏洞

漏洞信息详情

多款F5产品任意命令执行漏洞

• CNNVD编号：CNNVD-201405-217
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2014-2928
  
• 漏洞类型：
  
  

• 发布时间：
  
  2014-05-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-05-14
  
• 厂        商：
  
  f5
• 漏洞来源：

F5 BIG-IP LTM等都是美国F5公司的产品。LTM是一款本地流量管理器；APM是一套提供安全统一访问关键业务应用和网络的解决方案。

多款F5产品的iControl API组件中存在安全漏洞。远程攻击者可借助SOAP请求的hostname元素中的shell元字符利用该漏洞执行任意命令。以下产品及版本受到影响：F5 BIG-IP LTM，APM，ASM，GTM，Link Controller，PSM 10.0.0至10.2.4版本和11.0.0至11.5.1版本，BIG-IP AAM 11.4.0至11.5.1版本，BIG-IP AFM and PEM 11.3.0至11.5.1版本，BIG-IP Analytics 11.0.0至11.5.1版本，BIG-IP Edge Gateway，WebAccelerator，WOM 10.1.0至10.2.4版本和11.0.0至11.3.0版本；nterprise Manager 2.1.0至2.3.0版本和3.0.0至3.1.1版本，BIG-IQ Cloud，Device，Security 4.0.0至4.3.0版本。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
https://support.f5.com/csp/article/K15220

来源:FULLDISC

名称:20140507 Moar F5 fun in iControl API

链接:http://seclists.org/fulldisclosure/2014/May/32

来源:support.f5.com

链接:http://support.f5.com/kb/en-us/solutions/public/15000/200/sol15220.html