หากใครใช้ F5 BIG-IP แนะนำให้รีบ upgrade firmware เป็น firmware version ล่าสุด เพื่อป้องกันการล้วงข้อมูลจาก Memory (Information Leakage)

Ticketbleed จะเป็นการตั้งชื่อของช่องโหว่ให้คล้ายๆกับ Heartbleed ช่องโหว่ชื่อดังเมื่อ 2 ปีก่อน โดยความแตกต่าง อยู่ที่ Ticketbleed จะสามารถดึงข้อมูลออกมาจาก memory ได้ทีละ 32 byte เท่านั้น แต่ Heartbleed จะดึงข้อมูลทั้งก้อนจาก memory ประมาณ 64 Kbyte

Ticketbleed เกิดจากส่วนการจัดการ Session Ticket เพื่อเพิ่มประสิทธิภาพการเชื่อมต่อซ้ำ เมื่อ client เชื่อมต่อโดยการส่ง Session ID คู่กับ Session Ticket โดย Server ควรจะตอบกลับ Session ID ด้วยสัญญาณการตอบรับ Ticket เท่านั้น โดยค่า Session ID จะเป็นค่าขนาดเท่าไหร่ก็ได้ระหว่าง 1-31 byte ซึ่ง F5 จะตอบกลับมาด้วย 32 byte ที่อยู่ใน memory แม้ว่า Session ID จะสั้นกว่าก็ตาม ทำให้หาก Attacker ส่ง Session ID ขนาด 1 byte ไปให้ จะได้ค่า 31 byte ที่อยู่ใน memory มาให้แทน

ตอนนี้ทาง F5 ได้ออก Update firmware เพื่ออุดช่องโหว่นี้แล้ว สามารถ upgrade ได้เลยครับ แต่หากต้องการแก้ไขโดยไม่ update firmware สามารถทำได้โดย

  1. Log in ไป Configuration utility
  2. ที่เมนูให้เลือกที่ Local Traffic > Profiles > SSL > Client
  3. เลือก Configuration จาก Basic ไปเป็น Advanced
  4. เอาติ๊กที่ Session Ticket option ออกเพื่อ disable feature
  5. จากนั้นกด Update เพื่อ save การแก้ไข

ซึ่งช่องโหว่นี้ไม่ถือว่ารุนแรงมากนัก เพราะทางผู้ค้นพบได้ยืนยันว่าข้อมูลที่เป็นความลับไม่น่าจะหลุดมาใน 31 bytes ได้ครับ แต่ถึงแม้ว่าจะไม่รุนแรง แต่ก็ยังแนะนำให้ทำการ upgrade firmware อยู่ดีครับ

ระบบที่ได้รับผลกระทบ: F5 BIG-IP รุ่นต่างๆ
ผลกระทบ: Information Leakage
วิธีการแก้ไข: ปิดการใช้งาน Session Ticket หรืออัพเกรด F5 BIG-IP ให้เป็น firmware ล่าสุด

Source::