S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 09 août 2019
N° CERTFR-2019-AVI-379
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans F5 BIG-IP

Gestion du document

Référence CERTFR-2019-AVI-379
Titre Multiples vulnérabilités dans F5 BIG-IP
Date de la première version09 août 2019
Date de la dernière version09 août 2019
Source(s) Bulletin de sécurité F5 K03332436 du 08 août 2019
Bulletin de sécurité F5 K15759349 du 08 août 2019
Bulletin de sécurité F5 K36228121 du 08 août 2019
Bulletin de sécurité F5 K41515225 du 08 août 2019
Bulletin de sécurité F5 K75532331 du 08 août 2019
Bulletin de sécurité F5 K8072 du 08 août 2019
Bulletin de sécurité F5 K87920510 du 08 août 2019

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance

Systèmes affectés

  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versions 12.x antérieures à 12.1.5
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versions 13.x antérieures à 13.1.3
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versions 14.0.x antérieures à 14.0.5
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versions 14.1.x antérieures à 14.1.6

Résumé

De multiples vulnérabilités ont été découvertes dans F5 BIG-IP. Elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 août 2019
    Version initiale