Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.2.1
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
Betroffene Plattformen:
F5 Networks BIG-IP Systeme
Durch Ausnutzen dieser Schwachstelle kann ein entfernter Angreifer
Cross-site-Scripting (XSS)-Angriffe durchführen. Ältere Versionen von F5
BIG-IP PSM 11.0.0 - 11.2.0 und 10.0.0 - 10.2.4 sind von der Schwachstelle
nicht betroffen. Falls ein Downgrading nicht in Frage kommt, kann die
Ausnutzbarkeit der Schwachstelle durch Beschränkung des Zugangs zu der
Konfigurations-Utility auf ein vertrauenswürdiges Managementnetzwerk
reduziert werden.
Workaround:
Die Ausnutzbarkeit der Schwachstelle könnte ggf. durch Beschränkung des
Zugangs zu der Konfigurations-Utility auf ein vertrauenswürdiges
Managementnetzwerk reduziert werden.
Patch:
F5 Networks Security Advisory sol15296
http://support.f5.com/kb/en-us/solutions/public/15000/200/sol15296.html
CVE-2014-3959: Schwachstelle in BIG-IP PSM erlaubt Cross-site Scripting
(XSS)
Eine Schwachstelle besteht in “list.jsp” in der Konfigurations-Utility in F5
BIG-IP PSM 11.2.1 bis 11.4.1. Die Schwachstelle kann von einem entfernten
Angreifer ausgenutzt werden, um beliebige Webskripte oder HTML
einzuschleusen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0703/
F5 Networks Security Advisory sol15296:
http://support.f5.com/kb/en-us/solutions/public/15000/200/sol15296.html
Schwachstelle CVE-2014-3959 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3959
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
