「Ticketbleed」に関するシスコのカバレッジ
脆弱性の詳細
デフォルト以外のセッション チケット オプションが有効になっている場合に、製品がセッション ID を処理する方法により、さまざまな F5 製品に影響を与える脆弱性(CVE-2016-9244)が最近公開されました。影響を受ける製品に渡されたセッション ID を攻撃者が操作することにより、最大 31 バイトの初期化されていないメモリのリークが発生する可能性があります。この脆弱性を利用して、他のセッションの SSL セッション ID や初期化されていないメモリの内容など、影響を受けるデバイスから潜在的に機密性の高い情報を取得できます。
Ticketbleed 攻撃で返されるバイト数が小さい(最大 31 バイト)ことに注意してください。これは、機密情報を正しく取得するためには、多数の要求が必要である可能性が高いことを意味します。また、この脆弱性を悪用したときに返されるメモリの内容を、攻撃者が予測または制御することはできないと考えられます。F5 は、影響を受ける製品や影響を緩和する手順について記載されたナレッジ ベース(K05121675
)を公開しています。
この脆弱性の詳細を明らかにする完全な技術レポートは、こちらをご覧ください。
カバレッジ
この脅威を検出するために次の Snort ID がリリースされました:41547、41548
今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center、FireSIGHT Management Center、または Snort.org を参照してください。
本稿は 2017年2月9日に Talos Group
Tags:
