F5设备中存在一个Ticketbleed漏洞，可被远程攻击者利用

F5 Networks BIG-IP设备中存在一个严重漏洞，漏洞编号为CVE-2016-9244。该漏洞被命名为Ticketbleed，可被远程攻击者利用于窃取内存中的敏感信息，包括敏感数据（比如SSL Session ID）。

受影响的F5 BIG-IP设备包括LTM、AAM、AFM、Analytics、APM、ASM、GTM、 Link Controller、PEM、PSM。

F5设备中存在致命漏洞

发现这枚漏洞的是著名安全专家Filippo Valsorda及其同事，他们表示：

该漏洞存在于执行Session Tickets的过程中，Session Tickets是加速重复连接的一项恢复技术。当客户端提供Session ID和Session Tickets时，服务器会返回该Session ID，以示接受了Session Tickets。Session ID的长度只要在1到31个字节之间就行。

即便Session ID很短，甚至只有几个字节，F5堆也会返回32字节的内存。所以，攻击者提供1字节的Session ID，F5堆便会返回一个31字节的未初始化内存。

Filippo Valsorda是在去年10月底将这一问题披露给F5的，F5也已经确认了这一问题并发布了安全公告：

造成该漏洞的原因是，BIG-IP虚拟服务器配置了一个客户端SSL属性，其中的非默认Session Tickets选项可能会泄露31字节的未初始化内存。远程攻击者可能利用该漏洞获得SSL Session ID，甚至还可能会拿到其他一些敏感信息。

F5公司建议用户最好暂时禁用Session Tickets选项，禁用操作为Local Traffic > Profiles > SSL > Client。Filippo Valsorda也自己写了一个工具，大家可以用这个工具检查自己的网站是否受该漏洞的影响。目前扫描发现受影响的网站包括：

www.adnxs.com
www.aktuality.sk
www.ancestry.com
www.ancestry.co.uk
www.blesk.cz
www.clarin.com
www.findagrave.com
www.mercadolibre.com.ar
www.mercadolibre.com.co
www.mercadolibre.com.mx
www.mercadolibre.com.pe
www.mercadolibre.com.ve
www.mercadolivre.com.br
www.netteller.com
www.paychex.com

危害程度堪比“心脏出血”漏洞

大家还记得心脏出血漏洞吗？一个漏洞可以让任何人都能读取系统的运行内存，因影响巨大，故取名为心脏出血。所以这里同样引用bleed一词，类比于心脏出血，可见其严重程度非同一般。