CVE-2020-23008 | LemonSecurity.com

風險等級：	高度威脅
摘　要：	弱點通告：F5發佈01月份安全性公告，建議請儘速更新!
影響系統：	NGINX 控制器 API 管理 3.18.0 – 3.19.0 版本 BIG-IQ 集中管理 8.1.0 (含)之前版本 BIG-IP（所有模組）16.1.0 (含)之前版本 BIG-IP（所有模組）15.1.4.1 (含)之前版本 BIG-IP（所有模組）14.1.4.4 (含)之前版本 BIG-IP（所有模組）13.1.0 – 13.1.3 版本 BIG-IP（所有模組）12.1.0 – 12.1.5 版本 BIG-IP（所有模組）11.6.1 – 11.6.5 版本
解決辦法：	請依照 F5官網更新至以下建議版本 1.NGINX 控制器 API 管理，更新至3.19.1之後版本 2.BIG-IQ 集中管理，更新至8.1.0之後版本 3.BIG-IP（所有模組）： 16.1.0 之後版本 15.1.4.1 之後版本 14.1.4.4 之後版本 13.x 13.1.0 – 13.1.3 已不提供弱點修復，建議更新至有支援修復的版本 12.x 12.1.0 – 12.1.5 已不提供弱點修復，建議更新至有支援修復的版本 11.x 11.6.1 – 11.6.5 已不提供弱點修復，建議更新至有支援修復的版本如果您運行的是已知易受攻擊的版本列中列出的版本，則可以通過修復列出的版本來解決此弱點。如果列中引入的修復未列出您的版本，則當前不存在支援的更新，建議升級到具有修復的版本。
細節描述：	F5 已發布關於2022 年 1 月影響多個 BIG-IP、BIG-IQ 和 NGINX 控制器 API 管理版本的的弱點安全公告。 1.NGINX 控制器 API 管理弱點(CVE-2020-23008)：有權訪問“user”或“admin”角色的經過身份驗證的攻擊者可以使用 NGINX 控制器 API 管理上未公開的 API 端點來注入在託管 NGINX 資料介面上執行的 JavaScript 程式碼。成功利用允許攻擊者讀取或寫入 NGINX 資料介面上的文件。對文件的訪問僅限於運行NGINX 程序的用戶。 2.BIG-IQ 弱點(CVE-2022-23009)： BIG-IQ 管理的 BIG-IP 設備上經過身份驗證的管理角色用戶可以訪問由同一 BIG-IQ 系統管理的其他 BIG-IP 設備，經過身份驗證的管理角色攻擊者可能獲得對同一 BIG-IQ 系統管理的所有 BIG-IP 設備的訪問權限。 3.BIG-IP FastL4 弱點(CVE-2022-23010)：在虛擬伺服器上配置 FastL4 配置文件和 HTTP配置文件時，未公開的請求可能會導致記憶體資源使用率增加。系統性能可能會下降，直到程序被強制重新啟動或手動重新啟動。此弱點允許遠端攻擊者導致服務降級，從而導致 BIG-IP 系統上的阻斷服務 (DoS)。此弱點通告並非所有弱點資訊，詳細資訊請參考F5官網。
參考資訊：	US-CERT F5 F5(CVE-2020-23008) F5(CVE-2022-23009) F5(CVE-2022-23010)