安全公告编号:CNTA-2022-0019
8月3日,F5公司发布了2022年第三季度的季度安全通告,修复了多款产品存在的21个安全漏洞,受影响的产品包括:BIG-IP(19个)、BIG-IQ(3个)、NGINX Instance Manager(1个)、NGINX Ingress Controller (1个)。
利用上述漏洞,攻击者可实现安全功能限制绕过、权限提升、敏感信息获取或拒绝服务攻击等。CNVD提醒F5用户尽快更新至最新版本,避免引发漏洞相关的网络安全事件。
CNVD编号
| CVE编号
| 公告标题
| 最高严重等级和漏洞影响
| 受影响的软件
|
CNVD-2022-55188
| CVE-2022-35243
| F5 BIG-IP iControl REST不当权限管理漏洞
| 重要
不当权限管理
| BIG-IP (all modules)
|
CNVD-2022-55187
| CVE-2022-35728
| F5 BIG-IP iControl REST会话过期时间不足漏洞漏洞
| 重要
会话过期时间不足
| BIG-IP (all modules)
BIG-IQ Centralized Management
|
CNVD-2022-55186
| CVE-2022-34655
| F5 BIG-IP TMM iRule拒绝服务漏洞
| 重要
拒绝服务
| BIG-IP (all modules)
|
CNVD-2022-55185
| CVE-2022-35245
| F5 BIG-IP APM空指针指针解引用漏洞
| 重要
空指针指针解引用
| BIG-IP (APM)
|
CNVD-2022-55184
| CVE-2022-35240
| F5 BIG-IP消息路由MQTT拒绝服务漏洞
| 重要
拒绝服务
| BIG-IP (all modules)
|
CNVD-2022-55183
| CVE-2022-35236
| F5 BIG-IP HTTP2配置文件拒绝服务漏洞
| 重要
拒绝服务
| BIG-IP (all modules)
|
CNVD-2022-55182
| CVE-2022-34651
| F5 BIG-IP TLS 1.3 iRule空指针解引用漏洞
| 重要
空指针指针解引用
| BIG-IP (all modules)
|
CNVD-2022-55181
| CVE-2022-32455
| F5 BIG-IP TMM ClientSSL配置文件拒绝服务漏洞
| 重要
拒绝服务
| BIG-IP (all modules)
|
CNVD-2022-55180
| CVE-2022-34862
| F5 BIG-IP TMM数据规范化无限循环漏洞
| 重要
拒绝服务
| BIG-IP (all modules)
|
CNVD-2022-55179
| CVE-2022-33203
| F5 BIG-IP APM和F5 SSL Orchestrator拒绝服务漏洞
| 重要
拒绝服务
| BIG-IP (APM and SSLO)
|
CNVD-2022-55178
| CVE-2022-35272
| F5 BIG-IP HTTP MRF拒绝服务漏洞
| 重要
拒绝服务
| BIG-IP (all modules)
|
CNVD-2022-55177
| CVE-2022-35735
| F5 BIG-IP健康检查配置权限提升漏洞
| 重要
权限提升
| BIG-IP (all modules)
|
CNVD-2022-55176
| CVE-2022-31473
| F5 BIG-IP APM设备模式路径遍历漏洞
| 重要
路径遍历
| BIG-IP (APM)
|
CNVD-2022-55175
| CVE-2022-33962
| F5 BIG-IP iRule权限提升漏洞
| 重要
权限提升
| BIG-IP (all modules)
|
CNVD-2022-55174
| CVE-2022-35241
| F5 NGINX Instance Manager拒绝服务漏洞
| 重要
拒绝服务
| NGINX Instance Manager
|
CNVD-2022-55173
| CVE-2022-30535
| F5 NGINX Ingress Controller输入验证错误漏洞
| 重要
输入验证错误
| NGINX Ingress Controller
|
CNVD-2022-55172
| CVE-2022-34844
| F5 BIG-IP和BIG-IQ AWS输入验证错误漏洞
| 重要
拒绝服务
| BIG-IP (all modules)
BIG-IQ Centralized Management
|
CNVD-2022-55171
| CVE-2022-33947
| F5 BIG-IP DNS TMUI拒绝服务漏洞
| 重要
拒绝服务
| BIG-IP (DNS)
|
CNVD-2022-55170
| CVE-2022-34865
| F5 BIG-IP Traffic Intelligence Feeds证书验证错误漏洞
| 重要
信息泄露
| BIG-IP (all modules)
|
CNVD-2022-55169
| CVE-2022-34851
| F5 BIG-IP和BIG-IQ iControl SOAP输入验证错误漏洞
| 重要
拒绝服务
| BIG-IP (all modules)
BIG-IQ Centralized Management
|
CNVD-2022-55168
| CVE-2022-33968
| F5 BIG-IP LTM和APM NTLM越界读取漏洞
| 越界读取
| BIG-IP (all modules)
|
参考信息:
https://support.f5.com/csp/article/K14649763
漏洞报告文档编写:
------------------------------------------------------------
国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。
在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
我们鼓励所有计算机与网络安全研究机构,包括厂商和科研院所,向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站和国家信息安全漏洞共享平台(CNVD)公布漏洞信息及指导受影响用户采取措施以避免损失。
如果您发现本公告存在任何问题,请与我们联系:vreport@cert.org.cn。
吉公网安备 22017202000203号
