F5 Networks BIG-IP:边信道处理器漏洞 (K91229003)

medium Nessus 插件 ID 118702

简介

远程设备缺少供应商提供的安全补丁。

描述

2018 年 1 月 3 日公开披露了以下三种边信道攻击:

CVE-2017-5715 Spectre-BTB(以前称为 Spectre Variant 2)分支目标注入

具有使用推测执行和间接分支预测的微处理器的系统可以允许通过边信道分析,向具有本地用户访问权限的攻击者泄露未经授权的信息。

CVE-2017-5753 Spectre-PHT(之前称为 Spectre Variant 1)边界检查绕过 具有使用推测执行和转移预测的微处理器的系统可以允许通过边信道分析,向具有本地用户访问权限的攻击者泄露未经授权的信息。

CVE-2017-5754 Meltdown-US(之前称为 Meltdown)恶意数据缓存加载 具有使用推测执行和间接转移预测的微处理器的系统可以允许通过数据缓存边信道分析,向具有本地用户访问权限的攻击者泄露未经授权的信息。

影响

F5 继续研究 Spectre 和 Meltdown 漏洞对我们产品的影响。F5 正在集中精力提供修补版本,但还需要经过充分测试和验证补丁。一经确认,F5 就会在此文章中更新最新信息。

BIG-IP

首先,BIG-IP 产品不会通过数据平面暴露出漏洞。所有暴露出的漏洞仅限于控制平面(亦称为“管理平面”)。

此外,在控制平面上,只有四种经过授权和身份验证的帐户角色才能利用这些漏洞:管理员、资源管理员、管理人和 iRules 管理人。您必须获得授权以其中一种角色访问系统,才有可能尝试利用漏洞。

这三个漏洞全部要求攻击者能够在 BIG-IP 平台上提供并运行所选择的二进制代码。

这些条件大大限制了 BIG-IP 产品暴露出的风险。

对于单租户产品,如独立的 BIG-IP 设备,风险仅限于本地经过授权的用户使用漏洞之一,从正常情况下无法突破特权访问的内存中读取信息。事实上,单租户情况下的风险在于用户可能会访问内核空间内存,而不是限于自己的用户空间内。

对于多租户环境,如云、VE 和虚拟集群多进程 (vCMP),会受到与单租户环境本地内核内存访问权限相同的本地风险。此外,还存在客户机间攻击,或针对管理程序/主机的攻击的风险。在云和 VE 环境中,若要避免这些针对管理程序/主机平台的新型攻击,已超出了 F5 的支持或修补能力范围。请联系您的云服务提供商或管理程序提供商,确保其平台或产品不会受到 Spectre 和 Meltdown 的影响。

对于 vCMP 环境,F5 认为尽管 Spectre-PHT 和 Meltdown-US 攻击确实存在理论上的客户机对客户机或客户机对主机攻击的可能性,但在 BIG-IP 环境中很难成功执行。vCMP 环境中的主要风险来自于 Spectre-BTB,但此风险只有当 vCMP 客户机配置为使用单个核心时才会存在。如果 vCMP 客户机配置为使用两个或多个核心,就能够消除 Spectre-BTB 漏洞。

F5 正在与硬件组件供应商合作,确定各代硬件平台中的漏洞范围。我们目前从供应商处获得的所有信息均已体现在本安全公告中。我们正在努力从供应商处获得其余信息,在我们收到有关硬件平台的新信息时将更新安全公告。

我们还正测试 Linux 社区制作的补丁。我们正在开展一项广泛的测试活动,以确定补丁对系统性能和稳定性的影响,确保尽可能为客户提供良好的体验。我们不想在未充分了解任何潜在问题的情况下匆忙完成流程并发布补丁。鉴于如上所述的风险有限、补丁的复杂性以及我们和其他人已经发现的潜在问题,我们认为有必要采取详尽的方法,匆忙发布补丁可能对系统稳定性造成影响,或产生难以接受的性能代价。当补丁可以使用时,我们将在本文中更新详细信息。

若要确定影响各个平台和各个平台所使用的处理器类型会受到哪些漏洞的影响,请参阅下表。

注意:在下表中,具有多种变体的平台型号仅显示为一个条目。例如,BIG-IP 11000、BIG-IP 11050、BIG-IP 11050F 和 BIG-IP 11050N 都存在漏洞,并在表中包含在“BIG-IP 110x0”中。部分平台可能有来自多家供应商的处理器,如 iSeries 平台,这些平台具有一个或多个 Intel 核心处理器,也可能在一个或多个子系统中具有存在漏洞的 ARM 处理器。F5 认为攻击者无法访问这些子系统中的 ARM 处理器,除非存在某些其他代码执行漏洞,但提供此信息时会非常谨慎。

型号 处理器类型 是否容易受到 CVE-2017-5753 Spectre-PHT 漏洞攻击 是否容易受到 CVE-2017-5715 Spectre-BTB 漏洞攻击 是否容易受到 CVE-2017-5754 漏洞攻击 VIPRION B21x0 Intel Y Y Y VIPRION B2250 Intel Y Y Y VIPRION B4100 AMD Y Y** N VIPRION B4200 AMD Y Y** N VIPRION B43x0 Intel Y Y Y VIPRION B44x0 Intel Y Y Y BIG-IP 800 Intel Y** N Y** BIG-IP 1600 Intel Y** N Y** BIG-IP 3600 Intel Y** N Y** BIG-IP 3900 Intel Y** N Y** BIG-IP2xx0 Intel Y Y Y BIG-IP4xx0 Intel Y Y Y BIG-IP5xx0 Intel Y Y Y BIG-IP7xx0 Intel Y Y Y BIG-IP10xx0 Intel Y Y Y BIG-IP12xx0 Intel Y Y Y BIG-IPi2x00 Intel, ARM Y Y Y BIG-IPi4x00 Intel, ARM Y Y Y BIG-IPi5x00 Intel, ARM Y Y Y BIG-IPi7x00 Intel, ARM Y Y Y BIG-IPi10x00 Intel, ARM Y Y Y BIG-IP6400 AMD Y Y** N BIG-IP6900 AMD Y Y** N BIG-IP89x0 AMD Y Y** N BIG-IP110x0 AMD Y Y** N

**Intel 和 AMD 尚未回应有关这些平台中使用的特定处理器相关信息的请求。
因此,基于两家公司的公开声明和安全利益考虑,F5 将继续视为这些平台存在漏洞。

注意:已达到结束技术支持 (EoTS) 的平台型号将不会进行评估。有关更多信息,请参阅 K4309:F5 平台生命周期支持策略。

BIG-IQ 和 Enterprise Manager

具有使用推测执行和间接分支预测的微处理器的系统可以通过边信道分析,在未经授权的情况下向具有本地用户访问权限的攻击者泄露信息。

若要确定影响各个平台和各个平台所使用的处理器类型会受到哪些漏洞的影响,请参阅下表。

型号 处理器类型 是否容易受到 CVE-2017-5753 Spectre-PHT 漏洞攻击 是否容易受到 CVE-2017-5715 Spectre-BTB 漏洞攻击 是否容易受到 CVE-2017-5754 Meltdown-US 漏洞攻击 BIG-IQ 7000 Intel Y Y Y Enterprise Manager 4000 Intel Y** N Y**

**Intel 尚未回应有关这些平台中使用的特定处理器相关信息的请求。因此,基于两家公司的公开声明和安全利益考虑,F5 将继续视为这些平台存在漏洞。

注意:已达到结束技术支持 (EoTS) 的平台型号将不会进行评估。有关更多信息,请参阅 K4309:F5 平台生命周期支持策略。

Traffix

具有使用推测执行和间接分支预测的微处理器的系统可以通过边信道分析,在未经授权的情况下向具有本地用户访问权限的攻击者泄露信息。

LineRate

具有使用推测执行和间接分支预测的微处理器的系统可以通过边信道分析,在未经授权的情况下向具有本地用户访问权限的攻击者泄露信息。

下表中已知容易受到攻击的版本一栏中标识为无的产品不会受到影响。

解决方案

升级至 F5 解决方案 K91229003 中列出的无漏洞版本之一。

另见

https://my.f5.com/manage/s/article/K91229003

插件详情

严重性: Medium

ID: 118702

文件名: f5_bigip_SOL91229003.nasl

版本: 1.6

类型: local

发布时间: 2018/11/2

最近更新时间: 2023/11/3

支持的传感器: Nessus

风险信息

VPR

风险因素: High

分数: 8.4

CVSS v2

风险因素: Medium

基本分数: 4.7

时间分数: 4.1

矢量: CVSS2#AV:L/AC:M/Au:N/C:C/I:N/A:N

CVSS 分数来源: CVE-2017-5754

CVSS v3

风险因素: Medium

基本分数: 5.6

时间分数: 5.4

矢量: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:H/RL:O/RC:C

漏洞信息

CPE: cpe:/a:f5:big-ip_access_policy_manager, cpe:/a:f5:big-ip_advanced_firewall_manager, cpe:/a:f5:big-ip_application_acceleration_manager, cpe:/a:f5:big-ip_application_security_manager, cpe:/a:f5:big-ip_application_visibility_and_reporting, cpe:/a:f5:big-ip_domain_name_system, cpe:/a:f5:big-ip_global_traffic_manager, cpe:/a:f5:big-ip_local_traffic_manager, cpe:/h:f5:big-ip

必需的 KB 项: Host/local_checks_enabled, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version

可利用: true

易利用性: Exploits are available

补丁发布日期: 2018/1/3

漏洞发布日期: 2018/1/4

可利用的方式

CANVAS (CANVAS)

参考资料信息

CVE: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754