Filippo Valsorda, beveiligingsonderzoeker bij Cloudflare, heeft een lek in verschillende apparaten van fabrikant F5 Networks ontdekt, waarmee het op afstand uitlezen van geheugen mogelijk is. Daarmee lijkt de kwetsbaarheid enigszins op het Heartbleed-lek in OpenSSL.
Valsorda heeft zijn bevindingen gedetailleerd beschreven in een blogpost. Daarnaast is een speciale website aan het lek gewijd, zoals in het verleden bij andere kwetsbaarheden het geval was. Het lek treft de BIG-IP-lijn van F5-apparatuur, die de taken vervult van load balancer en proxy. Het is aanwezig in de tls-stack van de apparatuur en stelt een aanvaller in staat om steeds 31 bytes aan geheugen uit te lezen. Daardoor is het bijvoorbeeld mogelijk om gevoelige informatie te achterhalen, zoals session id's van andere sessies.
Volgens F5 zelf gaat het om tien kwetsbare apparaten uit de BIG-IP-lijn; een overzicht is te vinden op de website van de fabrikant. Er zijn inmiddels patches voor de getroffen apparaten beschikbaar. Het lek heeft te maken met de implementatie van session tickets en werkt doordat een aanvaller een session id van 1 byte kan versturen, waarop de server een antwoord van 31 byte aan niet-geïnitialiseerd geheugen terugstuurt in plaats van een session-id.
Een scan naar kwetsbare servers van Valsorda laat zien dat er in de duizend populairste sites volgens Alexa drie lekke apparaten te vinden zijn. In de honderdduizend populairste websites stijgt het aantal naar 102. Het installeren van een patch is de beste oplossing. Het uitschakelen van session tickets verhelpt het probleem eveneens, maar leidt tot verminderde prestaties.
