F5裝置中存在一個Ticketbleed漏洞，可被遠端攻擊者利用

F5 Networks BIG-IP裝置中存在一個嚴重漏洞，漏洞編號為CVE-2016-9244。該漏洞被命名為Ticketbleed，可被遠端攻擊者利用於竊取記憶體中的敏感資訊，包括敏感資料（比如SSL Session ID）。

受影響的F5 BIG-IP裝置包括LTM、AAM、AFM、Analytics、APM、ASM、GTM、 Link Controller、PEM、PSM。

F5裝置中存在致命漏洞

發現這枚漏洞的是著名安全專家Filippo Valsorda及其同事，他們表示：

該漏洞存在於執行Session Tickets的過程中，Session Tickets是加速重複連線的一項恢復技術。當客戶端提供Session ID和Session Tickets時，伺服器會返回該Session ID，以示接受了Session Tickets。Session ID的長度只要在1到31個位元組之間就行。

即便Session ID很短，甚至只有幾個位元組，F5堆也會返回32位元組的記憶體。所以，攻擊者提供1位元組的Session ID，F5堆便會返回一個31位元組的未初始化記憶體。

Filippo Valsorda是在去年10月底將這一問題披露給F5的，F5也已經確認了這一問題併發布了安全公告：

造成該漏洞的原因是，BIG-IP虛擬伺服器配置了一個客戶端SSL屬性，其中的非預設Session Tickets選項可能會洩露31位元組的未初始化記憶體。遠端攻擊者可能利用該漏洞獲得SSL Session ID，甚至還可能會拿到其他一些敏感資訊。

F5公司建議使用者最好暫時禁用Session Tickets選項，禁用操作為Local Traffic > Profiles > SSL > Client。Filippo Valsorda也自己寫了一個工具，大家可以用這個工具檢查自己的網站是否受該漏洞的影響。目前掃描發現受影響的網站包括：

www.adnxs.com
www.aktuality.sk
www.ancestry.com
www.ancestry.co.uk
www.blesk.cz
www.clarin.com
www.findagrave.com
www.mercadolibre.com.ar
www.mercadolibre.com.co
www.mercadolibre.com.mx
www.mercadolibre.com.pe
www.mercadolibre.com.ve
www.mercadolivre.com.br
www.netteller.com
www.paychex.com

危害程度堪比“心臟出血”漏洞

大家還記得心臟出血漏洞嗎？一個漏洞可以讓任何人都能讀取系統的執行記憶體，因影響巨大，故取名為心臟出血。所以這裡同樣引用bleed一詞，類比於心髒出血，可見其嚴重程度非同一般。