F5發佈01月份安全性公告

風險等級: 高度威脅
摘 要: 弱點通告:F5發佈01月份安全性公告,建議請儘速更新!
影響系統:
  • NGINX 控制器 API 管理 3.18.0 – 3.19.0 版本
  • BIG-IQ 集中管理 8.1.0 (含)之前版本
  • BIG-IP(所有模組)16.1.0 (含)之前版本
  • BIG-IP(所有模組)15.1.4.1 (含)之前版本
  • BIG-IP(所有模組)14.1.4.4 (含)之前版本
  • BIG-IP(所有模組)13.1.0 – 13.1.3 版本
  • BIG-IP(所有模組)12.1.0 – 12.1.5 版本
  • BIG-IP(所有模組)11.6.1 – 11.6.5 版本
解決辦法: 請依照 F5官網更新至以下建議版本
1.NGINX 控制器 API 管理,更新至3.19.1之後版本
2.BIG-IQ 集中管理,更新至8.1.0之後版本
3.BIG-IP(所有模組):
16.1.0 之後版本
15.1.4.1 之後版本
14.1.4.4 之後版本
13.x 13.1.0 – 13.1.3 已不提供弱點修復,建議更新至有支援修復的版本
12.x 12.1.0 – 12.1.5 已不提供弱點修復,建議更新至有支援修復的版本
11.x 11.6.1 – 11.6.5 已不提供弱點修復,建議更新至有支援修復的版本
如果您運行的是已知易受攻擊的版本列中列出的版本,則可以通過修復列出的版本來解決此弱點。如果列中引入的修復未列出您的版本,則當前不存在支援的更新,建議升級到具有修復的版本。
細節描述: F5 已發布關於2022 年 1 月影響多個 BIG-IP、BIG-IQ 和 NGINX 控制器 API 管理版本的的弱點安全公告。

1.NGINX 控制器 API 管理弱點(CVE-2020-23008):
有權訪問“user”或“admin”角色的經過身份驗證的攻擊者可以使用 NGINX 控制器 API 管理上未公開的 API 端點來注入在託管
NGINX 資料介面上執行的 JavaScript 程式碼。成功利用允許攻擊者讀取或寫入 NGINX 資料介面上的文件。對文件的訪問僅限於運行NGINX 程序的用戶。

2.BIG-IQ 弱點(CVE-2022-23009):
BIG-IQ 管理的 BIG-IP 設備上經過身份驗證的管理角色用戶可以訪問由同一 BIG-IQ 系統管理的其他 BIG-IP 設備,經過身份驗證的管理角色攻擊者可能獲得對同一 BIG-IQ 系統管理的所有 BIG-IP 設備的訪問權限。

3.BIG-IP FastL4 弱點(CVE-2022-23010):
在虛擬伺服器上配置 FastL4 配置文件和 HTTP配置文件時,未公開的請求可能會導致記憶體資源使用率增加。系統性能可能會下降,直到程序被強制重新啟動或手動重新啟動。此弱點允許遠端攻擊者導致服務降級,從而導致 BIG-IP 系統上的阻斷服務 (DoS)。

此弱點通告並非所有弱點資訊,詳細資訊請參考F5官網。

參考資訊: US-CERT
F5
F5(CVE-2020-23008)
F5(CVE-2022-23009)
F5(CVE-2022-23010)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *