您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
【漏洞通告】F5 8月多個(gè)安全漏洞
0x00 漏洞概述
2021年8月24日,F(xiàn)5發(fā)布安全更新,修復(fù)了其BIG-IP等產(chǎn)品中的29個(gè)安全漏洞。這些漏洞包括經(jīng)過身份驗(yàn)證的遠(yuǎn)程命令執(zhí)行、XSS、CSRF、SSRF和拒絕服務(wù)等。
0x01 漏洞詳情
本次修復(fù)的高危漏洞為13個(gè),除CVE-2021-23031之外,其它漏洞的CVSS評(píng)分范圍為7.2-7.5,5個(gè)漏洞影響了 WAF 和 ASM,1個(gè)漏洞影響了 DNS 模塊。
其中包括一個(gè)在特定條件下被利用時(shí)評(píng)級(jí)為嚴(yán)重的漏洞,該漏洞的CVE編號(hào)為CVE-2021-23031,是 BIG-IP Web 應(yīng)用防火墻 (WAF) 和應(yīng)用安全管理器 (ASM) 流量管理用戶界面(TMUI) 上的權(quán)限提升漏洞。該漏洞的CVSS評(píng)分為8.8,經(jīng)過身份驗(yàn)證且具有配置實(shí)用程序訪問權(quán)限的攻擊者可以利用此漏洞來(lái)提升權(quán)限,最終可以執(zhí)行任意系統(tǒng)命令、創(chuàng)建或刪除任意文件、禁用服務(wù)等。但如果應(yīng)用了設(shè)備模式,該漏洞的CVSS評(píng)分將提升為9.9。
F5本次發(fā)布的安全更新中的13個(gè)高危漏洞及其影響范圍、修復(fù)版本如下:
此外,F(xiàn)5還修復(fù)了其BIG-IP等產(chǎn)品中的其它16個(gè)中危和低危漏洞,這些漏洞的CVSS評(píng)分范圍為3.7-6.8,攻擊者可以利用這些漏洞執(zhí)行XSS攻擊、SQL注入、訪問任意文件等。
0x02 處置建議
目前這些漏洞已在部分版本中修復(fù),F(xiàn)5 建議客戶將 BIG-IP 設(shè)備至少更新或升級(jí)到 BIG-IP 14.1.0,將 BIG-IP VE 至少更新或升級(jí)到 BIG-IP 15.1.0,建議參考官方公告及時(shí)升級(jí)更新。
下載鏈接:https://support.f5.com/csp/article/K50974556
0x03 參考鏈接
https://support.f5.com/csp/article/K50974556
https://www.bleepingcomputer.com/news/security/critical-f5-big-ip-bug-impacts-customers-in-sensitive-sectors/
https://securityaffairs.co/wordpress/121454/security/f5-big-ip-critical-flaw.html?
0x04 更新版本
0x05 文檔附錄
CNVD:www.cnvd.org.cn
CNNVD:www.cnnvd.org.cn
CVE:cve.mitre.org
NVD:nvd.nist.gov
CVSS:www.first.org
來(lái)源:維他命安全