F5 Networks publikuje miesięczny przegląd podatności dla swoich produktów-Maj 2024(P24-162)

cert.pse-online.pl 7 miesięcy temu

8 maja 2024 r. firma F5 opublikowała aktualizacje zabezpieczeń dla wielu produktów. Uwzględniono aktualizacje następujących elementów:

• BIG-IP (wszystkie moduły) – wiele wersji i modeli

• BIG-IP Next Central Manager – wiele wersji i modeli

• BIG-IP (AFM) – wiele wersji i modeli

• BIG-IP Next CN – wiele wersji i modeli

Z raportów typu open source wynika, iż w przypadku niektórych z tych luk dostępny jest kod exploita sprawdzający koncepcję.

Wysoka krytyczność CVE

OpisCVSSProduktWersjaPatch
K000138636: BIG-IP Configuration utility XSS vulnerability CVE-2024-311568.0BIG-IP (Wszystkie moduły)17.1.0 – 17.1.1
16.1.0 – 16.1.4
15.1.0 – 15.1.10
17.1.1.3
16.1.4.3
15.1.10.4
K000138732: BIG-IP Next Central Manager OData Injection vulnerability CVE-2024-217937.5BIG-IP Next Central Manager20.0.1 – 20.1.020.2.0
K000138733: BIG-IP Next Central Manager SQL Injection vulnerability CVE-2024-260267.5BIG-IP Next Central Manager20.0.1 – 20.1.020.2.0
K000138728: BIG-IP IPsec vulnerability CVE-2024-336087.5BIG-IP (Wszystkie moduły)17.1.017.1.1
K000139037: TMM vulnerability CVE-2024-255607.5BIG-IP (AFM)17.1.0
16.1.0 – 16.1.3
15.1.10
17.1.1
16.1.4
BIG-IP Next CNF1.1.0 – 1.1.11.2.0
K000138634: BIG-IP Next Central Manager vulnerability CVE-2024-320497.4BIG-IP Next Central Manager20.0.1 – 20.0.220.1.0
K000138744: BIG-IP APM browser network access VPN client vulnerability CVE-2024-288837.4BIG-IP (APM)17.1.0
16.1.0 – 16.1.4
15.1.0 – 15.1.10
17.1.1
16.1.4.2
15.1.10.3
APM Clients7.2.3 – 7.2.47.2.4.42

Średnia krytyczność CVE

OpisCVSSProduktWersjaPatch
K000139012: BIG-IP Next Central Manager vulnerability CVE-2024-336126.8BIG-IP Next Central Manager20.0.1 – 20.1.020.2.02
K000139217: BIG-IP TMM tenants on VELOS and rSeries vulnerability CVE-2024-327616.5BIG-IP (Wszystkie moduły)15.1.0 – 15.1.915.1.10
K000138894: BIG-IP Configuration utility XSS vulnerability CVE-2024-336046.1BIG-IP (Wszystkie moduły)17.1.0 – 17.1.1
16.1.0 – 16.1.4
15.1.0 – 15.1.10
17.1.1.3
16.1.4.3
15.1.10.4
K000138912: BIG-IP SSL vulnerability CVE-2024-288895.9BIG-IP (Wszystkie moduły)17.1.0 – 17.1.1
16.1.2.1 – 16.1.4
15.1.5 – 15.1.10
17.1.1.3
16.1.4.3
15.1.10.4
K000138520: BIG-IP Configuration utility vulnerability CVE-2024-272024.7BIG-IP (Wszystkie moduły)17.1.0 – 17.1.1
16.1.0 – 16.1.4
15.1.0 – 15.1.10
17.1.1.3
16.1.4.3
15.1.10.4
K000138913: BIG-IP Next CNF vulnerability CVE-2024-281324.4BIG-IP Next CNF1.2.0 – 1.2.11.3.0
OpisCVSSProduktWersja
K000132430: The BIG-IP system may fail to block HTTP Request Smuggling attacksBIG-IP (Wszystkie moduły)16.1.0 – 16.1.3
15.1.0 – 15.1.8
17.1.0
16.1.4
15.1.9
BIG-IP Next SPK1.5.0 – 1.6.01.7.0
K11342432: BIG-IP HTTP non-RFC-compliant security exposureBIG-IP (Advanced WAF/ASM)16.1.0 – 16.1.3
15.1.0 – 15.1.6
17.1.0
16.1.4
15.1.7
BIG-IP (wszystkie inne moduły)16.1.0 – 16.1.2
15.1.0 – 15.1.5
17.1.0
16.1.2.2
15.1.5.1
K000138898: BIG-IP Advanced WAF/ASM, BIG-IP Next WAF, and NGINX App Protect WAF attack signature check failureBIG-IP (Advanced WAF/ASM)17.1.0 – 17.1.1
16.1.0 – 16.1.4
15.1.0 – 15.1.10
17.1.1.3
16.1.4.3
15.1.10.4
BIG-IP Next (WAF)20.0.1 – 20.1.020.2.0
NGINX App Protect WAF4.0.0 – 4.8.0
3.10.0 – 3.12.2
4.8.1
Idź do oryginalnego materiału