BIG-IP de F5 : F-Secure décèle un grave défaut de sécurité pouvant donner lieu à des intrusions informatiques en masse
août 2019 par F5
Suite à l’alerte de F-Secure, voici le commentaire officiel de F5 :
Il ne s’agit pas d’une vulnérabilité dans Tcl, ni dans les produits F5, mais plutôt d’un problème lié aux pratiques de codage qui pourrait survenir par inadvertance lorsqu’un client crée des scripts TcL pour personnaliser son infrastructure réseau. Comme avec la plupart des langages de programmation ou de script, il est possible d’écrire du code en créant des vulnérabilités. Nous avons travaillé avec un analyste sur la documentation et la notification pour nous assurer que les clients peuvent évaluer si leurs scripts personnalisés ne suivent pas les meilleures pratiques et ne génèrent pas une exposition aux menaces afin de prendre les mesures nécessaires. La meilleure pratique pour quiconque écrit un script personnalisé sur la plate-forme BIG-IP en utilisant le script Tcl est d’échapper à toutes les expressions, en s’assurant qu’elles ne sont pas substituées ou évaluées de manière inattendue. Il est conseillé aux clients d’évaluer tous les scripts TcL personnalisés qu’ils ont écrits et d’apporter toutes les modifications qu’ils jugent appropriées.