本文講的是F5設(shè)備中存在一個(gè)Ticketbleed漏洞，可被遠(yuǎn)程攻擊者利用，

F5 Networks BIG-IP設(shè)備中存在一個(gè)嚴(yán)重漏洞，漏洞編號(hào)為CVE-2016-9244。該漏洞被命名為T(mén)icketbleed，可被遠(yuǎn)程攻擊者利用于竊取內(nèi)存中的敏感信息，包括敏感數(shù)據(jù)（比如SSL Session ID）。

受影響的F5 BIG-IP設(shè)備包括LTM、AAM、AFM、Analytics、APM、ASM、GTM、?Link Controller、PEM、PSM。

F5設(shè)備中存在致命漏洞

發(fā)現(xiàn)這枚漏洞的是著名安全專(zhuān)家Filippo Valsorda及其同事，他們表示：

該漏洞存在于執(zhí)行Session Tickets的過(guò)程中，Session Tickets是加速重復(fù)連接的一項(xiàng)恢復(fù)技術(shù)。當(dāng)客戶端提供Session ID和Session Tickets時(shí)，服務(wù)器會(huì)返回該Session ID，以示接受了Session Tickets。Session ID的長(zhǎng)度只要在1到31個(gè)字節(jié)之間就行。

即便Session ID很短，甚至只有幾個(gè)字節(jié)，F5堆也會(huì)返回32字節(jié)的內(nèi)存。所以，攻擊者提供1字節(jié)的Session ID，F5堆便會(huì)返回一個(gè)31字節(jié)的未初始化內(nèi)存。

Filippo Valsorda是在去年10月底將這一問(wèn)題披露給F5的，F5也已經(jīng)確認(rèn)了這一問(wèn)題并發(fā)布了安全公告：

造成該漏洞的原因是，BIG-IP虛擬服務(wù)器配置了一個(gè)客戶端SSL屬性，其中的非默認(rèn)Session Tickets選項(xiàng)可能會(huì)泄露31字節(jié)的未初始化內(nèi)存。遠(yuǎn)程攻擊者可能利用該漏洞獲得SSL Session ID，甚至還可能會(huì)拿到其他一些敏感信息。

F5公司建議用戶最好暫時(shí)禁用Session Tickets選項(xiàng)，禁用操作為L(zhǎng)ocal Traffic > Profiles > SSL > Client。Filippo Valsorda也自己寫(xiě)了一個(gè)工具，大家可以用這個(gè)工具檢查自己的網(wǎng)站是否受該漏洞的影響。目前掃描發(fā)現(xiàn)受影響的網(wǎng)站包括：

www.adnxs.com www.aktuality.sk www.ancestry.com www.ancestry.co.uk www.blesk.cz www.clarin.com www.findagrave.com www.mercadolibre.com.ar www.mercadolibre.com.co www.mercadolibre.com.mx www.mercadolibre.com.pe www.mercadolibre.com.ve www.mercadolivre.com.br www.netteller.com www.paychex.com

危害程度堪比“心臟出血”漏洞

大家還記得心臟出血漏洞嗎？一個(gè)漏洞可以讓任何人都能讀取系統(tǒng)的運(yùn)行內(nèi)存，因影響巨大，故取名為心臟出血。所以這里同樣引用bleed一詞，類(lèi)比于心臟出血，可見(jiàn)其嚴(yán)重程度非同一般。

原文發(fā)布時(shí)間為：2017年2月10日 本文作者：張奕源Nick 本文來(lái)自云棲社區(qū)合作伙伴嘶吼，了解相關(guān)信息可以關(guān)注嘶吼網(wǎng)站。 原文鏈接

總結(jié)

以上是生活随笔為你收集整理的F5设备中存在一个Ticketbleed漏洞，可被远程攻击者利用的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。