BLOG

BIG-IP WebUI(TMUI)におけるRemote Code Executionの脆弱性(CVE-2020-5902)について|F5 ブログ

Published July 08, 2020

7月1日に公表されましたBIG-IPの"Critical"レベルの脆弱性に関しまして、その概要をご報告いたします。

本脆弱性は、BIG-IPのSelf IPやManagement Portに外部から接続可能で、且つtcp 443 (クラウドの1NIC構成では8443、またはユーザ様設定による)のWebUI画面へアクセスが可能な場合に、ユーザ認証無しでRemote Code Executionが実行可能であるという問題です。

恒久対策として、以下の修正バージョンへのアップグレードをお願い致します。

暫定対策として、外部からのアクセスを制限する複数の軽減策がございます。軽減策の詳細については、本脆弱性のオフィシャルドキュメント(AskF5)をご参照ください。

[修正バージョン]
v16.0.0、v15.1.0.4、v14.1.2.6、v13.1.3.4、v12.1.5.2、v11.6.5.2

AskF5 オフィシャルドキュメント

K52145254: TMUI RCE vulnerability CVE-2020-5902
https://support.f5.com/csp/article/K52145254

K4602: Overview of the F5 security vulnerability response policy
https://support.f5.com/csp/article/K4602

 

ご不明点がございましたら、保守契約のあるF5代理店様 または F5サポートまでお問い合わせください。

F5代理店様
https://www.f5.com/ja_jp/partners/jp-find-a-partner

F5サポート
https://www.f5.com/ja_jp/services/support/jp-support