漏洞威胁:高
受影响版本:
BIG-IP 15.x: 15.1.0/15.0.0
BIG-IP 14.x: 14.1.0 ~ 14.1.2
BIG-IP 13.x: 13.1.0 ~ 13.1.3
BIG-IP 12.x: 12.1.0 ~ 12.1.5
BIG-IP 11.x: 11.6.1 ~ 11.6.5
富国银行:股票市场将在 2023 年创出更低的低点:金色财经报道,Watcher.Guru在社交媒体上称,富国银行表示“市场底部尚未建立,股票将在 2023 年创出更低的低点。”[2022/9/27 22:31:22]
漏洞描述:
在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。
银保监会金融机构监事:国内挖矿难以完全禁止 本次监管主要针对企业:6月6日消息,银保监会重点金融机构监事会正局级监事陈伟钢接受采访时表示,此次可以说是全面封杀,其实三年多前就禁止了包括比特币在内的虚拟货币交易,目前境内没有任何一家交易所。
陈伟钢说,国内的挖矿仍难以完全禁止,这次主要针对企业挖矿行为。可以通过收入与支出端的财务审计实现管控,如企业挖矿最终一定会体现为营收、利润增值,如果一部分利润属于挖矿得来,可以不允许企业入账,通过这样的方式可以封堵企业的挖矿行为。一些个人购买矿机挖矿,特别是在一些水电较为丰富的地区挖矿,如何封堵还有待下一步观察。但相当于砍掉大户,剩下的小户虽然数量很多,但是总量不大。
陈伟钢说,比特币甚至不算一种投资品,只能算是一种“炒作品”,国外的比特币交易更多是一些机构、财团间的游戏,但在中国以散户投资为主。就像此前的P2P,其实在英国、美国等国家出现的时间比国内早,但是P2P在中国最顶峰时参与的人群范围非常广,这次炒作比特币也是同理。关于国外的合规化趋势,陈伟钢认为,国外可以存在的东西不意味着在中国也有存在的合理性。(中国新闻周刊)[2021/6/6 23:15:55]
未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。
修复方案:
官方建议可以通过以下步骤暂时缓解影响(临时修复方案)
1) 使用以下命令登录对应系统
tmsh
2) 编辑 httpd 组件的配置文件
edit /sys httpd all-properties
3) 文件内容如下
include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '
4) 按照如下操作保存文件
按下 ESC 并依次输入 :wq
5) 执行命令刷新配置文件
save /sys config
6) 重启 httpd 服务
restart sys service httpd 并禁止外部IP对 TMUI 页面的访问
成都链安在此建议使用该应用的交易所进行安全自查,按照官方安全建议进行修复,避免造成不必要的经济损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。