エフセキュア株式会社から公開されたBIG-IPに関するブログ記事について

2019年8月14日にエフセキュア株式会社より、「F5 BIG-IPの重大な脆弱性について警告」と題するブログ記事が公開されております。

このタイトルは問題の要点に対して正確ではなく、また同ブログ記事を引用する形で報道各社様からの記事公開もあり、弊社製品のご利用ユーザー様から複数のお問合せを頂いている状況となります。つきましては以下にF5の見解をご報告いたします。

エフセキュア株式会社 記事(日本語): 
https://blog.f-secure.com/ja/command-injection-in-f5-irules/

エフセキュア株式会社のブログ記事タイトル、および報道各社様の引用記事上に「F5 Networks社が提供するBIG-IPの一般的な構成における重大な脆弱性」とございますが、同記事の文中に記述されている通り、問題点は「特定のコーディング手法により、攻撃者は任意のTclコマンドを挿入できる」ことにあります。
これは、BIG-IP や iRule で利用している Tcl コマンド自体が脆弱性を持つということではありません。その主旨は、iRuleがユーザー様側でTclスクリプトを自由に記述出来る機能であるため、iRule作成時のコーディング手法や記述内容によっては攻撃に対して脆弱となり得るという部分にあります。

本問題に対する対処法などの詳細情報につきましては、以下のAskF5サイト上に公式ドキュメントを発表しておりますので、以下のURLをご参照ください。

K15650046: Tcl code injection security exposure
https://support.f5.com/csp/article/K15650046

なおF5プロフェッショナルサービスでは、各種iRule等の作成サービスに加えてお客様が作成したiRuleコーディングに対するセキュリティ評価サービスをご提供しております。
同サービスの詳細やお見積りについては、弊社代理店もしくは弊社担当営業窓口までお問合せ下さい。

F5 LABS

アプリケーション脅威インテリジェンスの最新情報

DEVCENTRAL

ディスカッション フォーラムおよび専門家による記事を提供するF5コミュニティ

F5 NEWSROOM

ニュース、F5ブログなど