Vigil@nce - F5 BIG-IP : Man-in-the-Middle de Finished Message
août 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut utiliser un Man-in-the-Middle sur F5 BIG-IP,
afin de lire ou modifier les données de la session TLS.
Produits concernés : BIG-IP Hardware, TMOS.
Gravité : 1/4.
Date création : 12/08/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
La fonctionnalité SSL-VPN du produit F5 BIG-IP utilise le
protocole TLS.
Cependant, seul le premier et le dernier octet du MAC du message
TLS Handshake Finished Message est vérifié.
Note : F5 considère qu’il ne s’agit pas d’une vulnérabilité.
Un attaquant peut donc utiliser un Man-in-the-Middle sur F5
BIG-IP, afin de lire ou modifier les données de la session TLS.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/F5-BIG-IP-Man-in-the-Middle-de-Finished-Message-17652