CVE-2017-6139
https://notcve.org/view.php?id=CVE-2017-6139
In F5 BIG-IP APM software version 13.0.0 and 12.1.2, under rare conditions, the BIG-IP APM system appends log details when responding to client requests. Details in the log file can vary; customers running debug mode logging with BIG-IP APM are at highest risk. En F5 BIG-IP APM, en versiones 13.0.0 y 12.1.2 en condiciones poco frecuentes, el systema BIG-IP APM adjunta detalles de los logs cuando responde a las peticiones del cliente. Los detalles del archivo de log pueden variar. Los clientes que inicien sesión con BIG-IP APM en modo depuración son los que están más en riesgo. • http://www.securityfocus.com/bid/106186 http://www.securitytracker.com/id/1040055 https://support.f5.com/csp/article/K45432295 • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2017-0301
https://notcve.org/view.php?id=CVE-2017-0301
In F5 BIG-IP APM software versions 11.5.0, 11.5.1, 11.5.2, 11.5.3, 11.5.4, 11.6.0, 11.6.1, 12.0.0, 12.1.0, 12.1.1 and 12.1.2 BIG-IP APM portal access requests do not return the intended resources in some cases. This may allow access to internal BIG-IP APM resources, however the application resources and backend servers are unaffected. En F5 BIG-IP APM, en sus versiones 1.5.0, 11.5.1, 11.5.2, 11.5.3, 11.5.4, 11.6.0, 11.6.1, 12.0.0, 12.1.0, 12.1.1 y 12.1.2, las peticiones de acceso al portal BIG-IP APM no devuelven los recursos esperados en algunos casos. Esto puede permitir el acceso a recursos internos de BIG-IP APM. Sin embargo, los recursos de aplicación y los servidores backend no se ven afectados. • http://www.securitytracker.com/id/1040040 https://support.f5.com/csp/article/K54358225 •
CVE-2017-6164
https://notcve.org/view.php?id=CVE-2017-6164
In F5 BIG-IP LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, GTM, Link Controller, PEM, WebAccelerator and WebSafe software version 13.0.0, 12.0.0 - 12.1.2, 11.6.0 - 11.6.1 and 11.5.0 - 11.5.4, in some circumstances, Traffic Management Microkernel (TMM) does not properly handle certain malformed TLS1.2 records, which allows remote attackers to cause a denial-of-service (DoS) or possible remote command execution on the BIG-IP system. En F5 BIG-IP LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, GTM, Link Controller, PEM, WebAccelerator y WebSafe en las versiones de software 13.0.0, de la 12.0.0 a la 12.1.2, de la 11.6.0 a la 11.6.1 y de la 11.5.0 a la 11.5.5.4, en algunas circunstancias, Traffic Management Microkernel (TMM) no maneja correctamente determinados registros TLS1.2 mal formados, lo que permite a los atacantes remotos causar una denegación de servicio (DoS) o, posiblemente, ejecutar comandos remotos en el sistema BIG-IP. • http://www.securitytracker.com/id/1040054 https://support.f5.com/csp/article/K02714910 • CWE-20: Improper Input Validation •
CVE-2017-6161
https://notcve.org/view.php?id=CVE-2017-6161
In F5 BIG-IP LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, GTM, Link Controller, PEM, WebAccelerator software version 12.0.0 - 12.1.2, 11.6.0 - 11.6.1, 11.4.0 - 11.5.4, 11.2.1, when ConfigSync is configured, attackers on adjacent networks may be able to bypass the TLS protections usually used to encrypted and authenticate connections to mcpd. This vulnerability may allow remote attackers to cause a denial-of-service (DoS) attack via resource exhaustion. En F5 BIG-IP LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, GTM, Link Controller, PEM, WebAccelerator en versiones de software de la 12.0.0 a la 12.1.2, de la 11.6.0 a la 11.6.1, de la 11.4.0 a la 11.5.4 y en la versión 11.2.1, cuando ConfigSync está configurado, los atacantes en redes adyacentes pueden omitir las protecciones TLS, normalmente utilizadas para cifrar y autenticar conexiones al mcpd. Esta vulnerabilidad podría permitir que atacantes remotos provoquen un ataque de denegación de servicio (DoS) mediante el agotamiento de recursos. • http://www.securityfocus.com/bid/101636 http://www.securitytracker.com/id/1039675 http://www.securitytracker.com/id/1039676 https://support.f5.com/csp/article/K62279530 • CWE-400: Uncontrolled Resource Consumption •
CVE-2017-0303
https://notcve.org/view.php?id=CVE-2017-0303
In F5 BIG-IP LTM, AAM, AFM, Analytics, APM, ASM, DNS, GTM, Link Controller, PEM and Websafe software version 13.0.0, 12.0.0 to 12.1.2 and 11.5.1 to 11.6.1, under limited circumstances connections handled by a Virtual Server with an associated SOCKS profile may not be properly cleaned up, potentially leading to resource starvation. Connections may be left in the connection table which then can only be removed by restarting TMM. Over time this may lead to the BIG-IP being unable to process further connections. En F5 BIG-IP LTM, AAM, AFM, Analytics, APM, ASM, DNS, GTM, Link Controller, PEM y Websafe en sus versiones de software 13.0.0, de la 12.0.0 a la 12.1.2 y de la 11.5.1 a la 11.6.1, y bajo ciertas circunstancias, las conexiones gestionadas por un servidor virtual con un perfil SOCKS asociado puede que no se limpien correctamente, pudiendo provocar que se agotan los recursos. Las conexiones se pueden dejar en la tabla de conexiones, pudiendo solo eliminarse reiniciando el TMM. • http://www.securityfocus.com/bid/101612 http://www.securitytracker.com/id/1039674 https://support.f5.com/csp/article/K30201296 • CWE-459: Incomplete Cleanup •