DFN-CERT-2017-2082 F5 Networks BIG-IP Advanced Firewall Manager (AFM), F5 Networks BIG-IP Application Security Manager (ASM): Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Netzwerk]

DFN-CERT-2017-2082 F5 Networks BIG-IP Advanced Firewall Manager (AFM), F5 Networks BIG-IP Application Security Manager (ASM): Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 11.6.0
F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 11.6.2 HF1 F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 12.0.0
F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 12.1.2 HF2 F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 13.0.0
F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 13.0.0 HF3 F5 Networks BIG-IP Application Security Manager (ASM) >= 11.6.0
F5 Networks BIG-IP Application Security Manager (ASM) < 11.6.2 HF1 F5 Networks BIG-IP Application Security Manager (ASM) >= 12.0.0
F5 Networks BIG-IP Application Security Manager (ASM) < 12.1.2 HF2 F5 Networks BIG-IP Application Security Manager (ASM) >= 13.0.0
F5 Networks BIG-IP Application Security Manager (ASM) < 13.0.0 HF3 Betroffene Plattformen: F5 Networks BIG-IP Systeme Eine Schwachstelle in der SSL-Komponente von BIG-IP-Systemen ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen. F5 Networks veröffentlicht BIG-IP 11.6.2 HF1, 12.1.2 HF2 und 13.0.0 HF3 als Sicherheitsupdates zur Behebung der Schwachstelle für verschiedene Produkte. Unter anderem stehen die neuen Versionen für den BIG-IP Advanced Firewall Manager (AFM) und den BIG-IP Application Security Manager (ASM) zur Verfügung. Workaround: F5 Networks bietet verschiedene alternative Handlungsmöglichkeiten als Sicherheitsmaßnahmen für den Fall an, dass das Einspielen von Sicherheitsupdates nicht möglich ist. Dazu zählt das Abschalten des RSA-Schlüsselaustausches im Client-SSL-Profil, was aber die Kommunikation mit älterer Software wie Microsoft Internet Explorer 6 oder Microsoft Internet Explorer 8 auf Windows XP verhindert. Weitere Möglichkeiten bestehen in der Herabsetzung des Client-SSL Handshake-Timeouts oder darin eine iRule für die Beschränkung von Angriffsverkehr anzulegen, allerdings sind diese Maßnahmen nur als partielle Mitigation tauglich. Die notwendigen Schritte für diese Alternativen sind im Sicherheitshinweis des Herstellers unter dem Punkt Mitigation zu finden. Patch: F5 Networks Security Advisory K21905460: BIG-IP SSL vulnerability CVE-2017-6168 https://support.f5.com/csp/article/K21905460

CVE-2017-6168: Schwachstelle in BIG-IP Virtual Server ermöglicht Umgehen von
Sicherheitsvorkehrungen

In der SSL-Komponente von F5 BIG-IP in den Versionen 11.6.0 bis 11.6.2,
12.0.0 bis 12.1.2 HF1 und 13.0.0 bis 13.0.0 HF2 existiert eine
Schwachstelle, die einen virtuellen Server mit einem Client-SSL-Profil
verwundbar für einen ‘Adaptive Chosen Ciphertext-Angriff gegen RSA macht,
auch bekannt als Bleichenbacher-Angriff. Ein Angreifer kann diese
Schwachstelle ausnutzen, um den Klartext aus verschlüsselten Nachrichten zu
erhalten oder einen Mittelsmann (Man-in-the-Middle)-Angriff durchzuführen,
allerdings ohne dass der Angreifer dabei in den Besitz des privaten
Schlüssels des Servers gerät.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2082/

F5 Networks Security Advisory K21905460: BIG-IP SSL vulnerability
CVE-2017-6168:
https://support.f5.com/csp/article/K21905460

Schwachstelle CVE-2017-6168 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6168

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben