近日，国家信息安全漏洞共享平台（CNVD）收录了F5 BIG-IP设备TLS/SSL堆栈溢出漏洞“又称TicketBleed漏洞”（CNVD-2017-01171，CVE-2016-9244）。该漏洞原理类似于OpenSSL“心脏滴血”漏洞，远程攻击者利用该漏洞持续获取服务器端的内存数据。由于BIG-IP设备多用于互联网出入口流量管理和负载优化，有可能导致用户敏感信息（如：业务数据）泄露。不过根据当前测试结果，受影响范围还较为有限。

        一、漏洞情况分析

        F5 BIG-IP 链路控制器可以无缝地监控多条 WAN ISP 连接的可用性与性能，主要用于互联网出入口流量管理和负载优化。Session Tickets是加速重复连接的一项恢复技术。

        BIG-IP虚拟服务器配置客户端SSL配置文件启用了非默认Session Tickets选项,当客户端提供SessionID和Session Tickets时， Session ID的长度可以在1到31个字节之间，而F5堆栈总是回显32字节的内存。攻击者利用该漏洞提供1字节Session ID可收到31字节的未初始化内存信息，从而获取其他会话安全套接字层(SSL)SessionID。该漏洞原理类似于OpenSSL“心脏滴血”漏洞，但通过漏洞一次只能获取31个字节数据，而不是64k，需要多次轮询执行攻击，并且仅影响专有的F5 TLS堆栈。

        CNVD对该漏洞的综合评级为“高危”。目前，相关利用方式已经在互联网上公开，近期出现大量攻击尝试的可能。

        二、漏洞影响范围

        受此漏洞影响的设备类型和版本，以及受该漏洞影响的组件和功能的详细信息请参阅下表。根据CNVD秘书处普查情况，相关F5 BIG-IP设备共有70028台暴露在互联网上，而在中国境内有2213台BIG-IP设备（占全球比例3.16%），但测试未发现受到漏洞实际影响。根据漏洞研究者的抽查比例，互联网上443端口受该漏洞影响的443端口TLS服务比例约为0.2%。

        三、漏洞修复建议

        受影响的产品在本次公开披露时并非所有版本都可以通过升级解决。F5官方提供的临时解决方案如下：

        1. 登录到配置实用程序

        2. 在菜单上导航到本地流量>配置文件> SSL>客户端

        3. 将配置的选项从基本切换到高级

        4. 取消选中Session Ticket选项以禁用该功能

        5. 单击更新以保存更改

        附：参考链接：

        https://filippo.io/Ticketbleed/

        https://blog.filippo.io/finding-ticketbleed/?utm_source=tuicool&utm_medium=referral

        https://support.f5.com/csp/article/K05121675

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-01171