- F5 宣布该公司已修复工程修补程序中的漏洞,该修补程序适用于受支持的版本。
- 这些漏洞由 Rapid7 的研究人员于 8 月 18 日发现并报告,并于 11 月修复。
- 影响 BIG-IP 和 BIG-IQ 的漏洞的 CVSSv3 得分为 8.7 和 8.7,被认为是高严重性。
F5修复了运行自定义 CentOS 分发版的 F5 BIG-IP 和 BIG-IQ 设备中的多个漏洞。这些漏洞由Rapid7发现,CVSSv3 得分为 8.7 和 8.8,被认为是高危漏洞。这些问题已在可用于支持的 BIG-IP 版本的工程修补程序中得到修复。
8月报道
Rapid7 研究人员于 2022 年 8 月 18 日向公司报告了这些漏洞。Rapid7 还支持 F5 解决这些漏洞。
CVE-2022-41800:在设备模式下运行时,分配了管理员角色的经过身份验证的用户可能能够利用未公开的 iControl REST 端点绕过设备模式限制。成功的利用可以允许攻击者跨越安全边界。易受攻击的产品是:
- BIG-IP(所有模块)17.0.0
- BIG-IP(所有模块)16.1.0 – 16.1.3
- BIG-IP(所有模块)15.1.0 – 15.1.8
- BIG-IP(所有模块)14.1.0 – 14.1.5
- BIG-IP(所有模块)13.1.0 – 13.1.5
咨询说,
« 在 Appliance 模式下,具有有效用户凭据并分配了管理员角色的经过身份验证的用户可能能够绕过 Appliance 模式限制。这是一个控制平面问题;没有数据平面暴露。设备模式由特定许可证强制执行,或者可以针对单个虚拟集群多处理 (vCMP) 来宾实例启用或禁用。»
CVE-2022-41622:BIG-IP 和 BIG-IQ 容易受到通过 iControl SOAP 进行的跨站点请求伪造 (CSRF) 攻击。易受攻击的产品是:
- BIG-IP(所有模块)17.0.0
- BIG-IP(所有模块)16.1.0 – 16.1.3
- BIG-IP(所有模块)15.1.0 – 15.1.8
- BIG-IP(所有模块)14.1.0 – 14.1.5
- BIG-IP(所有模块)13.1.0 – 13.1.5
- BIG-IQ 集中管理 8.0.0 – 8.2.0
- BIG-IQ 集中管理 7.1.0
咨询说,
« 攻击者可能会诱使至少具有资源管理员角色特权并通过 iControl SOAP 中的基本身份验证进行身份验证的用户执行关键操作。攻击者只能通过控制平面利用此漏洞,而不能通过数据平面。如果被利用,该漏洞可能会危及整个系统。»
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » F5宣布公司已修复Rapid7报告的2个高危远程代码执行漏洞。
