一、概要

近日華為云監(jiān)測(cè)到美國F5公司的F5 BIG-IP官網(wǎng)發(fā)布一則安全公告，披露F5 BIG-IP的流量管理用戶界面（TMUI），也稱為配置實(shí)用程序，在未公開的頁面中存在遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2020-5902）。未經(jīng)身份驗(yàn)證的攻擊者利用漏洞，通過發(fā)送特制的請(qǐng)求包可導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

華為云提醒使用F5 BIG-IP的用戶及時(shí)安排自檢并做好安全加固。

詳情請(qǐng)參考鏈接：

https://support.f5.com/csp/article/K52145254

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

受影響版本：

BIG-IP 15.x: 15.1.0/15.0.0

BIG-IP 14.x: 14.1.0 ~ 14.1.2

BIG-IP 13.x: 13.1.0 ~ 13.1.3

BIG-IP 12.x: 12.1.0 ~ 12.1.5

BIG-IP 11.x: 11.6.1 ~ 11.6.5

安全版本：

BIG-IP 15.x: 15.1.0.4

BIG-IP 14.x: 14.1.2.6

BIG-IP 13.x: 13.1.3.4

BIG-IP 12.x: 12.1.5.2

BIG-IP 11.x: 11.6.5.2

四、漏洞處置

目前，官方已在相應(yīng)的分支中提供了安全版本，請(qǐng)受影響的用戶升級(jí)到安全版本。

若無法及時(shí)升級(jí)，可參考官方公告中提供的規(guī)避措施進(jìn)行風(fēng)險(xiǎn)規(guī)避：https://support.f5.com/csp/article/K52145254

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。