首页 > 安全 > 正文

F5警告客户的产品数十个缺陷

最后更新 :2022.05.05

网络安全提供商F5发布了安全补丁,以解决影响其产品的数十个漏洞。

安全和应用程序交付解决方案提供商F5发布了其安全通知,以告知客户,其已从其数十漏洞中发布了安全更新,从产品。

该公司总共解决了43个漏洞,最严重的问题是CVE-2022-1388(CVSS得分为9.8)的关键问题。通过管理端口和/或自我IP地址的网络访问网络访问大型IP系统的未经验证的攻击者可以利用CVE-2022-1388缺陷来执行任意系统命令,创建或删除文件或禁用服务。

此漏洞可能允许通过管理端口和/或自我IP地址网络访问BIG-IP系统,以执行任意系统命令,创建或删除文件,或禁用服务s。没有数据平面的暴露;这仅是控制平面问题。读取供应商发布的咨询。

漏洞会影响以下版本:

16.1.0 16.1.2
15.1.0 15.1.1.1.5
14.1.0 14.1。4
13.1.0 13.1.4
12.1.0 12.1.6
11.6.1 11.6.5

,供应商以:



的发布来解决它。17.0.0
16.1.2.2
15.1.5.1

14.1.4.6

13.1.5

公司为客户提供以下临时缓解,无法安装修补版本:[

通过管理管理InterfaceMeatify Big-IP HTTPD配置

F5也解决了其他一些重要的身份验证问题,通过管理InterfaceMeatify通过管理InterfaceMeatify通过管理InterfaceMeatify通过管理InterfaceMeatify进行块ICONTROL REST访问。CVE-2022-27806,以Big-IP引导配置和Big-IP(ASM,Advanced WAF,APM)。这两个漏洞都可以允许攻击者在当前登录的用户的上下文。

在两个错误下方,两者都获得了8.7的CVSS得分:身份验证的F5大型IP引导配置完整性检查设备模式下的漏洞CVE-2022-25946AUTHENTICED F5在设备模式下的大型IP引导配置漏洞CVE-2022-27806

供应商还解决了XSS漏洞,以CVE-2022-28707跟踪,在Big-IP中,该漏洞已接收CVSS,得分为8.0。

在Big-IP配置实用程序(也称为Big-IP TMUI)的一个未公开的页面中存在一个存储的跨站点脚本(XSS)漏洞当前登录的用户。(CVE-2022-28707)撞击具有至少客人角色的身份验证的攻击者,可以通过在Big-IP配置实用程序中存储恶意HTML或JavaScript代码来利用此漏洞。阅读咨询。如果成功,攻击者可以在CUR的上下文中运行JavaScript重新登录的用户。对于具有访问高级外壳(BASH)的管理用户,攻击者可以利用成功利用这种脆弱性来妥协大型IP系统。这是一个控制平面问题;没有数据飞机的暴露。

请投票给安全事务,作为最佳欧洲网络安全博客作者奖2022投票给您的获奖者在“弱者最佳个人”部分中为我投票(123]非商业性)安全博客和技术最佳技术博客以及您选择的其他人。要提名,请访问: https://docs.google.com/forms/forms/forms/d/e/1faipqlsfxxrsfxrcimqimqmqic-iipumqic-iipumqic-iom-npqmosfznjxrbqryjgcow/viewform

- END -

看更多