尊敬的客户:
您好!
作为安全漏洞持续管理的一部分,F5 在8月24日发布了 BIG-IP 和 BIG-IQ 的新漏洞和更新。 对漏洞及时披露和有效补救是我们安全实践的核心诉求,这反映了我们保持警惕并专注于不断改进的不懈努力。
我们知道漏洞管理对客户系统的安全性和稳定性至关重要,我们将与您的团队合作确定所需执行的行动及其优先顺序。 我们将尽快为相关人员安排会议或电话沟通,并一起审查相关的补救计划。
您可以在AskF5 上找到安全公告的详细信息和推荐的缓解措施的最新状态。(https://support.f5.com/csp/article/K50974556 )
CVE 列表及详情概述:
(扫描文末二维码,查看概述大图及相关跳转链接)
注:
1.管理 BIG-IP 系统时使用唯一且隔离的 Web 浏览器,并将系统访问限制为仅允许受信任的用户。由于此攻击是由合法的、经过身份验证的用户进行的,因此在仍允许用户访问配置实用程序的同时,没有可行的缓解措施。唯一的缓解措施是删除任何不完全受信任的用户的访问权限。即:
A、通过配置针对 httpd 的 allow ip 限制只有受信用户通过处于可信安全网络中的可信设备才可访问 BIG-IP 系统管理接口的 TCP443 端口;
B、通过 self IP 的 Port Lockdown 设置进行访问控制。设置为 Allow None 将不允许 self IP 的所有协议端口被访问。如果必须允许某些协议端口被访问,可通过 Allow Custom 进行设置,必须不允许 TMUI 默认使用的 TCP 443 端口被访问才可以达到缓解目的。
2.建议系统配置为 HA 集群,并配置 HA 表采取特定的动作,以避免业务流量中断。
如果您有任何疑问,请随时与我们保持联系,我们将尽快安排与您及团队的后续跟进与问题的解决。
顺祝商祺F5 中国
2021年8月25日