F5 networks : Vulnerabilidad de SQL Inyection en plataforma AFM - CVE-2017-0304

Una vulnerabilidad de alto Impacto fue publicada hace unos dias por fabrica de F5, recomiendo a todos los administradores de F5 que realicen las actualizaciones correspondientes..




 CVE-2017-0304


Un atacante puede aprovechar esta vulnerabilidad independientemente de la configuración de aprovisionamiento de BIG-IP AFM; sin embargo, explotar esta vulnerabilidad no afecta el procesamiento del tráfico o las reglas de firewall en vivo que se usan en Traffic Management Microkernel (TMM). Los impactos son los siguientes:

Si el sistema BIG-IP AFM está o ha sido aprovisionado, una copia de las reglas de firewall configuradas puede ser alterada e impactar la utilidad de configuración BIG-IP AFM hasta que las reglas se vuelvan a sincronizar.
Si el sistema BIG-IP AFM no está o nunca ha sido aprovisionado, no hay impacto.

Estas serian las versiones afectadas y las que estan solucionadas

ProductBranchVersions known
 to be vulnerable
Fixes introduced
in
SeverityCVSSv3
score1
Vulnerable
 component or
 feature
BIG-IP (AFM)13.x13.0.013.1.0
13.0.0 HF1
Medium5.4Configuration utility
12.x12.0.0 - 12.1.212.1.3
11.xNoneNot applicable
BIG-IP (LTM, AAM, Analytics, APM,
ASM, DNS, Edge Gateway, GTM,
 Link Controller, PEM, PSM,
 WebAccelerator, WebSafe)
13.xNoneNot applicableNot vulnerable2NoneNone
12.xNoneNot applicable
11.xNoneNot applicable
ARX6.xNoneNot applicableNot vulnerableNoneNone
Enterprise Manager3.xNoneNot applicableNot vulnerableNoneNone
BIG-IQ (Cloud, Device, Security,
ADC)
4.xNoneNot applicableNot vulnerableNoneNone
BIG-IQ Centralized Management5.xNoneNot applicableNot vulnerableNoneNone
4.xNoneNot applicable
BIG-IQ Cloud and Orchestration1.xNoneNot applicableNot vulnerableNoneNone
F5 iWorkflow2.xNoneNot applicableNot vulnerableNoneNone
LineRate2.xNoneNot applicableNot vulnerableNoneNone
Traffix SDC5.xNoneNot applicableNot vulnerableNoneNone
4.xNoneNot applicable