漏洞威胁:高,受影响版本:BIG-IP 15.x: 15.1.0/15.0.0、BIG-IP 14.x: 14.1.0 ~ 14.1.2、BIG-IP 13.x: 13.1.0 ~ 13.1.3、BIG-IP 12.x: 12.1.0 ~ 12.1.5 和 BIG-IP 11.x: 11.6.1 ~ 11.6.5。漏洞描述:在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/ 配置实用程序的特定页面中存在一处远程代码执行漏洞。未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于 : 执行任意系统命令、开启 / 禁用服务、创建 / 删除服务器端文件等。修复方案:官方建议可以通过以下步骤暂时缓解影响(临时修复方案) 1) 使用以下命令登录对应系统 tmsh2) 编辑 httpd 组件的配置文件 edit /sys httpd all-properties3) 文件内容如下 include 'Redirect 404 /'4) 按照如下操作保存文件,按下 ESC 并依次输入 :wq 5) 执行命令刷新配置文件 save /sys config 6) 重启 httpd 服务 restart sys service httpd 并禁止外部 IP 对 TMUI 页面的访问成都链安在此建议使用该应用的交易所进行安全自查,按照官方安全建议进行修复,避免造成不必要的经济损失。