PT-2020-18772 · F5 · Big-Ip
Publicado
2020-04-30
·
Atualizado
2020-05-05
·
CVE-2020-5871
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
F5 BIG-IP versões 14.1.0 a 14.1.2.3
Descrição
A vulnerabilidade permite que solicitações não divulgadas causem uma negação de serviço (DoS) quando enviadas aos servidores virtuais BIG-IP HTTP/2. Esse problema ocorre quando cifras, que foram colocadas na lista negra pela RFC do HTTP/2, são usadas em servidores de back-end. Trata-se de um problema no plano de dados, sem exposição no plano de controle.
Recomendações
Para as versões 14.1.0 a 14.1.2.3, considere restringir o uso de cifras na lista negra em servidores back-end para minimizar o risco de exploração. Como solução alternativa temporária, restrinja o acesso aos servidores virtuais BIG-IP HTTP/2 até que um patch esteja disponível.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Big-Ip