-
關(guān)于F5 BIG-IP設(shè)備存在TicketBleed漏洞的安全公告
近日,國家信息安全漏洞共享平臺(CNVD)收錄了F5 BIG-IP設(shè)備TLS/SSL堆棧溢出漏洞“又稱TicketBleed漏洞”(CNVD-2017-01171,CVE-2016-9244)。該漏洞原理類似于OpenSSL“心臟滴血”漏洞,遠(yuǎn)程攻擊者利用該漏洞持續(xù)獲取服務(wù)器端的內(nèi)存數(shù)據(jù)。由于BIG-IP設(shè)備多用于互聯(lián)網(wǎng)出入口流量管理和負(fù)載優(yōu)化,有可能導(dǎo)致用戶敏感信息(如:業(yè)務(wù)數(shù)據(jù))泄露。不過根據(jù)當(dāng)前測試結(jié)果,受影響范圍還較為有限。 一、漏洞情況分析 F5 BIG-IP 鏈路控制器可以無縫地監(jiān)控…