F5設備中存在一個Ticketbleed漏洞 可被遠程攻擊者利用

F5 Networks BIG-IP設備中存在一個嚴重漏洞，漏洞編號為CVE-2016-9244。該漏洞被命名為Ticketbleed，可被遠程攻擊者利用於竊取內存中的敏感信息，包括敏感數據（比如SSL Session ID）。

受影響的F5 BIG-IP設備包括LTM、AAM、AFM、Analytics、APM、ASM、GTM、 Link Controller、PEM、PSM。

F5設備中存在致命漏洞

發現這枚漏洞的是著名安全專家Filippo Valsorda及其同事，他們表示：

該漏洞存在於執行Session Tickets的過程中，Session Tickets是加速重複連接的一項恢復技術。當客戶端提供Session ID和Session Tickets時，伺服器會返回該Session ID，以示接受了Session Tickets。Session ID的長度只要在1到31個位元組之間就行。

即便Session ID很短，甚至只有幾個位元組，F5堆也會返回32位元組的內存。所以，攻擊者提供1位元組的Session ID，F5堆便會返回一個31位元組的未初始化內存。

Filippo Valsorda是在去年10月底將這一問題披露給F5的，F5也已經確認了這一問題並發布了安全公告：

造成該漏洞的原因是，BIG-IP虛擬伺服器配置了一個客戶端SSL屬性，其中的非默認Session Tickets選項可能會泄露31位元組的未初始化內存。遠程攻擊者可能利用該漏洞獲得SSL Session ID，甚至還可能會拿到其他一些敏感信息。

F5公司建議用戶最好暫時禁用Session Tickets選項，禁用操作為Local Traffic > Profiles > SSL > Client。Filippo Valsorda也自己寫了一個工具，大家可以用這個工具檢查自己的網站是否受該漏洞的影響。目前掃描發現受影響的網站包括：

www.adnxs.comnwww.aktuality.sknwww.ancestry.comnwww.ancestry.co.uknwww.blesk.cznwww.clarin.comnwww.findagrave.comnwww.mercadolibre.com.arnwww.mercadolibre.com.conwww.mercadolibre.com.mxnwww.mercadolibre.com.penwww.mercadolibre.com.venwww.mercadolivre.com.brnwww.netteller.comnwww.paychex.comn

危害程度堪比「心臟出血」漏洞

大家還記得心臟出血漏洞嗎？一個漏洞可以讓任何人都能讀取系統的運行內存，因影響巨大，故取名為心臟出血。所以這裡同樣引用bleed一詞，類比於心臟出血，可見其嚴重程度非同一般。

本文參考來源於securityaffairs，ARS，如若轉載，請註明來源於嘶吼： F5設備中存在一個Ticketbleed漏洞，可被遠程攻擊者利用 更多內容請關注「嘶吼專業版——Pro4hou」

推薦閱讀：