漏洞起因
设计错误
危险等级
中
影响系统
F5 BIG-IP <=11.2.0
不受影响系统
危害
远程攻击者可以利用漏洞以WEB上下文获取系统文件内容。
攻击所需条件
攻击者必须访问F5 BIG-IP。
漏洞信息
F5 BIG-IP强大功能的应用交换机。
F5 BIG-IP存在一个XML外部实体注入漏洞,允许通过验证的攻击者以”apache” OS用户上下文下载系统中任意文件,BIG-IP配置允许用户访问/etc/shadow文件获得用户密码哈希。
测试方法
http://downloads.securityfocus.com/vulnerabilities/exploits/57496.txt
厂商解决方案
F5 BIG-IP 11.2.0 HF3或11.2.1 HF3已经修复此漏洞,建议用户下载使用:
http://www.f5.com/
漏洞提供者
S. Viehback of SEC Consult Vulnerability Lab
评论关闭。