F5建议解决方 案
如果用户的F5设备存在权限分级管理的情况,低级用户可以利用这个漏洞获得更高的管理权限,这是唯一的漏洞应用场景。如果用户只用管理员权限并在内网安全区内维护F5设备,将不会导致风险。
影响版本
| Product | Versions known to be vulnerable | Versions known to be not vulnerable | Vulnerable component or feature |
| BIG-IP LTM | 11.0.0 - 11.6.0 10.0.0 - 10.2.4 |
None | Bash shell |
| BIG-IP AAM | 11.4.0 - 11.6.0 | None | Bash shell |
| BIG-IP AFM | 11.3.0 - 11.6.0 | None | Bash shell |
| BIG-IP Analytics | 11.0.0 - 11.6.0 | None | Bash shell |
| BIG-IP APM | 11.0.0 - 11.6.0 10.1.0 - 10.2.4 |
None | Bash shell |
| BIG-IP ASM | 11.0.0 - 11.6.0 10.0.0 - 10.2.4 |
None | Bash shell |
| BIG-IP Edge Gateway | 11.0.0 - 11.3.0 10.1.0 - 10.2.4 |
None | Bash shell |
| BIG-IP GTM | 11.0.0 - 11.6.0 10.0.0 - 10.2.4 |
None | Bash shell |
| BIG-IP Link Controller | 11.0.0 - 11.6.0 10.0.0 - 10.2.4 |
None | Bash shell |
| BIG-IP PEM | 11.3.0 - 11.6.0 | None | Bash shell |
| BIG-IP PSM | 11.0.0 - 11.4.1 10.0.0 - 10.2.4 |
None | Bash shell |
| BIG-IP WebAccelerator | 11.0.0 - 11.3.0 10.0.0 - 10.2.4 |
None | Bash shell |
| BIG-IP WOM | 11.0.0 - 11.3.0 10.0.0 - 10.2.4 |
None | Bash shell |
| ARX | 6.0.0 - 6.4.0 | None | Bash shell |
| Enterprise Manager | ** | ** | ** |
| FirePass | None | 7.0.0 6.0.0 - 6.1.0 |
None |
| BIG-IQ Cloud | ** | ** | ** |
| BIG-IQ Device | ** | ** | ** |
| BIG-IQ Security | ** | ** | ** |
| LineRate | None | 2.4.0 - 2.4.1 2.3.0 - 2.3.1 2.2.0 - 2.2.4 1.6.0 - 1.6.3 |
None |
使用iRules缓解Shellshock
以下iRules可以保护部署在F5设备后的系统免受此类攻击的影响。
https://devcentral.f5.com/articles/shellshock-mitigation-with-big-ip-irules
Block-Shellshocked
when HTTP_REQUEST {
set pattern "*(*)*\{*";
if { [string match $pattern [HTTP::uri]] } {
log local0. "Detected CVE-2014-6271 attack from '[IP::client_addr]' in URI '[HTTP::uri]'";
reject;
} else {
foreach header_name [HTTP::header names] {
foreach header_value [HTTP::header values $header_name] {
if { [string match $pattern $header_value] } {
log local0. "Detected CVE-2014-6271 attack from '[IP::client_addr]' in HTTP Header $header_name = '$header_value'; URI = '[HTTP::uri]'";
reject;
break;
}
}
}
}
}
Block-Shellshock-full
when HTTP_REQUEST {
if { [string match "*(*)*\{*" [HTTP::request]] } {
log local0. "Detected CVE-2014-6271 attack from '[IP::client_addr]' in HTTP Header $header_name = '$header_value'; URI = '[HTTP::uri]'";
reject;
}
}
其它技术细节请于SE联系。
Bash高危安全漏洞介绍
Bash是Linux用户广泛使用的一款用于控制命令提示符工具,这个最新被披露的bash漏洞代号为Bash bug或Shellshock。当用户正常访问时,只要shell是唤醒状态,这个漏洞就允许攻击者执行任意代码命令,并且已经在企业级软件中存在好长时间。
Bash漏洞的严重级别为“10”。它与“心脏出血”漏洞不同,“心脏出血”只能借助窃取用户电脑信息,而bash 漏洞允许黑客远程控制电脑,拿到系统最高权限!其方法利用就更简单了——复制/粘贴一行命令代码即可!
Redhat官方提供检测方式
运行命令:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
如果返回如下内容,则请尽快升级。
vulnerable
this is a test
