Spezialisten des Load-Balancer-Herstellers F5 haben auf die vor Kurzem bekannt gewordene Schwachstelle reagiert. Der F-Secure-Sicherheitsexperte Christoffer Jerkeby hatte einen Fehler im Big-IP-Konzept aufgedeckt: Link.
Den F5-Spezialisten zufolge handelt es sich weder um eine Schwachstelle in Tcl (Tool Command Language) noch in F5-Produkten. "Dies ist ein Problem im Zusammenhang mit Kodierungsprozessen. Es kann unbeabsichtigt auftreten, wenn Kunden Tcl-Skripte erstellen, um ihre Netzwerkinfrastruktur anzupassen", so die F5-Experten weiter. Wie bei den meisten Programmier- oder Skriptsprachen sei es möglich, Code so zu schreiben, dass Schwachstellen entstehen.
"Wir haben mit dem Forscher an einer Dokumentation und Benachrichtigung gearbeitet. Damit können Kunden beurteilen, ob ihre benutzerdefinierten Skripte nicht den Best Practices entsprechen und eine Gefährdung erzeugen. Anschließend können sie die notwendigen Schritte zur Minimierung des Risikos unternehmen", erklärt der Load-Balancer-Hersteller weiter.
Jeder, der ein benutzerdefiniertes Skript auf der Big-IP-Plattform mit Tcl-Scripting erstelle, sollte daher alle Ausdrücke vermeiden und sicherstellen, dass sie nicht unerwartet ersetzt oder ausgewertet werden. Kunden sollten alle von ihnen geschriebenen benutzerdefinierten Tcl-Skripte prüfen und sämtliche Änderungen vornehmen, die sie unter Berücksichtigung dieser Hinweise für angemessen halten.
Weitere Informationen finden sich im Sicherheitshinweis von F5: support.f5.com/csp/article/K15650046.