F5公司发布2022年8月安全更新
安全公告编号:CNTA-2022-0019
8月3日,F5公司发布了2022年第三季度的季度安全通告,修复了多款产品存在的21个安全漏洞,受影响的产品包括:BIG-IP(19个)、BIG-IQ(3个)、NGINX Instance Manager(1个)、NGINX Ingress Controller (1个)。
利用上述漏洞,攻击者可实现安全功能限制绕过、权限提升、敏感信息获取或拒绝服务攻击等。CNVD提醒F5用户尽快更新至最新版本,避免引发漏洞相关的网络安全事件。
CNVD编号 | CVE编号 | 公告标题 | 最高严重等级和漏洞影响 | 受影响的软件 |
CNVD-2022-55188 | CVE-2022-35243 | F5 BIG-IP iControl REST不当权限管理漏洞 | 重要 不当权限管理 | BIG-IP (all modules) |
CNVD-2022-55187 | CVE-2022-35728 | F5 BIG-IP iControl REST会话过期时间不足漏洞漏洞 | 重要 会话过期时间不足 | BIG-IP (all modules) BIG-IQ Centralized Management |
CNVD-2022-55186 | CVE-2022-34655 | F5 BIG-IP TMM iRule拒绝服务漏洞 | 重要 拒绝服务 | BIG-IP (all modules) |
CNVD-2022-55185 | CVE-2022-35245 | F5 BIG-IP APM空指针指针解引用漏洞 | 重要 空指针指针解引用 | BIG-IP (APM) |
CNVD-2022-55184 | CVE-2022-35240 | F5 BIG-IP消息路由MQTT拒绝服务漏洞 | 重要 拒绝服务 | BIG-IP (all modules) |
CNVD-2022-55183 | CVE-2022-35236 | F5 BIG-IP HTTP2配置文件拒绝服务漏洞 | 重要 拒绝服务 | BIG-IP (all modules) |
CNVD-2022-55182 | CVE-2022-34651 | F5 BIG-IP TLS 1.3 iRule空指针解引用漏洞 | 重要 空指针指针解引用 | BIG-IP (all modules) |
CNVD-2022-55181 | CVE-2022-32455 | F5 BIG-IP TMM ClientSSL配置文件拒绝服务漏洞 | 重要 拒绝服务 | BIG-IP (all modules) |
CNVD-2022-55180 | CVE-2022-34862 | F5 BIG-IP TMM数据规范化无限循环漏洞 | 重要 拒绝服务 | BIG-IP (all modules) |
CNVD-2022-55179 | CVE-2022-33203 | F5 BIG-IP APM和F5 SSL Orchestrator拒绝服务漏洞 | 重要 拒绝服务 | BIG-IP (APM and SSLO) |
CNVD-2022-55178 | CVE-2022-35272 | F5 BIG-IP HTTP MRF拒绝服务漏洞 | 重要 拒绝服务 | BIG-IP (all modules) |
CNVD-2022-55177 | CVE-2022-35735 | F5 BIG-IP健康检查配置权限提升漏洞 | 重要 权限提升 | BIG-IP (all modules) |
CNVD-2022-55176 | CVE-2022-31473 | F5 BIG-IP APM设备模式路径遍历漏洞 | 重要 路径遍历 | BIG-IP (APM) |
CNVD-2022-55175 | CVE-2022-33962 | F5 BIG-IP iRule权限提升漏洞 | 重要 权限提升 | BIG-IP (all modules) |
CNVD-2022-55174 | CVE-2022-35241 | F5 NGINX Instance Manager拒绝服务漏洞 | 重要 拒绝服务 | NGINX Instance Manager |
CNVD-2022-55173 | CVE-2022-30535 | F5 NGINX Ingress Controller输入验证错误漏洞 | 重要 输入验证错误 | NGINX Ingress Controller |
CNVD-2022-55172 | CVE-2022-34844 | F5 BIG-IP和BIG-IQ AWS输入验证错误漏洞 | 重要 拒绝服务 | BIG-IP (all modules) |
CNVD-2022-55171 | CVE-2022-33947 | F5 BIG-IP DNS TMUI拒绝服务漏洞 | 重要 拒绝服务 | BIG-IP (DNS) |
CNVD-2022-55170 | CVE-2022-34865 | F5 BIG-IP Traffic Intelligence Feeds证书验证错误漏洞 | 重要 信息泄露 | BIG-IP (all modules) |
CNVD-2022-55169 | CVE-2022-34851 | F5 BIG-IP和BIG-IQ iControl SOAP输入验证错误漏洞 | 重要 拒绝服务 | BIG-IP (all modules) |
CNVD-2022-55168 | CVE-2022-33968 | F5 BIG-IP LTM和APM NTLM越界读取漏洞 | 越界读取 | BIG-IP (all modules) |
参考信息:
https://support.f5.com/csp/article/K14649763
漏洞报告文档编写:
------------------------------------------------------------
国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。
在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
我们鼓励所有计算机与网络安全研究机构,包括厂商和科研院所,向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站和国家信息安全漏洞共享平台(CNVD)公布漏洞信息及指导受影响用户采取措施以避免损失。
如果您发现本公告存在任何问题,请与我们联系:vreport@cert.org.cn。
(编辑:CNVD)