Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer l’applet Java installée par les
produits F5 BIG-IP, afin de faire exécuter du code sur
l’ordinateur de la victime.

Produits concernés : BIG-IP Appliance

Gravité : 2/4

Date création : 16/07/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Certains produits BIG-IP installent une applet Java sur
l’ordinateur des utilisateurs. Cette applet permet de télécharger
des programmes depuis un site F5, de vérifier leur signature, et
de les exécuter.

Ces programmes sont normalement stockés dans le répertoire
temporaire (%TEMP%, /tmp). Cependant, en utilisant "../", un
attaquant peut forcer le programme à être stocké dans le
répertoire de démarrage. Le programme illicite sera alors exécuté
au prochain démarrage du système (sans vérification de la
signature).

Un attaquant peut donc employer l’applet Java installée par les
produits F5 BIG-IP, afin de faire exécuter du code sur
l’ordinateur de la victime.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/F5-BIG-IP-execution-de-code-via-une-applet-Java-13127