成都鏈安：F5 BIG-IP遠程代碼執行漏洞預警CVE-2020-5902-ODAILY_BIG

漏洞威脅：高

受影響版本

BIG-IP15.x:15.1.0/15.0.0

BIG-IP14.x:14.1.0~14.1.2

BIG-IP13.x:13.1.0~13.1.3

BIG-IP12.x:12.1.0~12.1.5

成都鏈安：BAYC項目具有被無限鑄幣的風險:據成都鏈安安全輿情監控數據顯示，BAYC項目具有被無限鑄幣的風險。成都鏈安安全團隊分析發現，合約的擁有者并非多簽錢包，合約擁有者可以任意調用reserveApes()函數進行鑄幣，每次調用函數可以直接鑄造30枚無聊猿NFT，如果合約所有者遭到釣魚攻擊或私鑰泄露等，可能會導致大量無聊猿NFT被鑄造并售賣。后面成都鏈安會持續監控該合約擁有者的動向。[2022/6/6 4:04:55]

BIG-IP11.x:11.6.1~11.6.5

成都鏈安：2022年第1季度區塊鏈安全生態造成的損失達到12億美元:4月20日消息，成都鏈安統計數據顯示，加密行業2022年第1季度安全事件造成的損失達到12億美元。[2022/4/20 14:36:00]

漏洞描述

在F5BIG-IP產品的流量管理用戶頁面(TMUI)/配置實用程序的特定頁面中存在一處遠程代碼執行漏洞。

成都鏈安CMO：交易所需建設一套完整的資金內控系統:3月11日晚8點，成都鏈安CMO Adolfo Gao做客“抹茶周三見”時發表觀點：交易所需建設一套完整的資金內控系統，并對每筆資金的出入都應該做好審核和記錄。此外他還指出，關鍵私鑰和轉賬授權的防護也是重中之重。成都鏈安科技是最早專門從事區塊鏈安全的公司，由前海母基金，聯想創投，復星國際，分布式資本等知名企業和創投戰略投資，電子科技大學楊霞教授，郭文生教授，高子揚博士聯合創立。“抹茶周三見”是MXC抹茶推出的一檔AMA活動，不定期邀請重量級嘉賓在周三進行分享。[2020/3/11]

未授權的遠程攻擊者通過向該頁面發送特制的請求包，可以造成任意Java代碼執行。進而控制F5BIG-IP的全部功能，包括但不限于:執行任意系統命令、開啟/禁用服務、創建/刪除服務器端文件等。

修復方案

官方建議可以通過以下步驟暫時緩解影響

1)使用以下命令登錄對應系統

tmsh

2)編輯httpd組件的配置文件

edit/syshttpdall-properties

3)文件內容如下

include'<LocationMatch".*\\.\\.;.*">Redirect404/</LocationMatch>'

4)按照如下操作保存文件

按下ESC并依次輸入:wq

5)執行命令刷新配置文件

save/sysconfig

6)重啟httpd服務

restartsysservicehttpd并禁止外部IP對TMUI頁面的訪問

漏洞建議

成都鏈安在此建議使用該應用的交易所進行安全自查，按照官方安全建議進行修復，避免造成不必要的經濟損失。

Tags：BIGHTTSYSMATCHbig-bang-game-coinCHTTAI Matrix Systemmatchstorevalue

歐易交易所app下載