安全公告编号:CNTA-2022-0026
10月19日,F5发布了2022年第四季度的季度安全通告,修复了多款产品存在的18个安全漏洞。受影响的产品包括:BIG-IP(14个)、BIG-IQ(2个)、F5OS(2个)、NGINX PLUS(3个)、NGINX Open Source(2个)、NGINX Ingress Controller(3个)等。
利用上述漏洞,攻击者可进行拒绝服务攻击,绕过安全功能限制,提升权限,或数据泄漏等攻击。CNVD提醒广大F5用户尽快更新至最新版本系统,避免引发漏洞相关的网络安全事件。
CVE编号
| 公告标题
| 最高风险等级和风险类型
| 受影响产品
| 修复版本
|
CVE-2022-41691
| BIG-IP Advanced WAF/ASM bd漏洞
| 高
7.5
拒绝服务
| BIG-IP (Advanced WAF/ASM)
| 14.1.5.2
|
CVE-2022-41617
| BIG-IP AWAF/ASM iControl REST 漏洞
| 高
7.2 (标准模式)
9.1 (设备模式)
命令注入
| BIG-IP (Advanced WAF/ASM)
| 16.1.3.1
15.1.6.1
14.1.5.1
13.1.5.1
|
CVE-2022-41787
| BIG-IP DNS Express 漏洞
| 高
7.5
拒绝服务
| BIG-IP (DNS, 或开启DNS services许可的LTM)
| 17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1
13.1.5.1
|
CVE-2022-41832
| BIG-IP SIP漏洞
| 高
7.5
拒绝服务
| BIG-IP (所有模块)
| 17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1
13.1.5.1
|
CVE-2022-41624
| BIG-IP iRules漏洞
| 高
7.5
拒绝服务
| BIG-IP (所有模块)
| 17.0.0.1
16.1.3.2
15.1.7
14.1.5.2
13.1.5.1
|
CVE-2022-41806
| BIG-IP AFM NAT64 策略漏洞
| 高
7.5
拒绝服务
| BIG-IP (AFM)
| 16.1.3.2
15.1.5.1
|
CVE-2022-41833
| BIG-IP iRule漏洞
| 高
7.5
拒绝服务
| BIG-IP (所有模块)
| 15.0.0
14.1.0
|
CVE-2022-41836
| BIG-IP Advanced WAF and ASM BD 进程漏洞
| 高
7.5
拒绝服务
| BIG-IP (Advanced WAF, ASM)
| 17.0.0.1
16.1.3.1
15.1.7
|
CVE-2022-41835
| F5OS 文件管理漏洞
| 高
7.3
权限管理不当
| F5OS
| F5OS-A:
1.1.0
F5OS-C:
1.5.0
|
CVE-2022-41741
| NGINX ngx_http_mp4_module漏洞
| 高
7.0
越界写入
| NGINX Plus
NGINX Open Source Subscription
NGINX Open Source
NGINX Ingress Controller
| NGINX Plus: R27 P1
R26 P1
NGINX Open Source Subscription: R2 P1
R1 P1
NGINX Open Source:
1.23.2
1.22.1
NGINX Ingress Controller:
2.4.1
|
CVE-2022-41742
| NGINX ngx_http_mp4_module漏洞
| 高
7.1
越界读取
| NGINX Plus
NGINX Open Source Subscription
NGINX Open Source
NGINX Ingress Controller
| NGINX Plus: R27 P1
R26 P1
NGINX Open Source Subscription: R2 P1
R1 P1
NGINX Open Source:
1.23.2
1.22.1
NGINX Ingress Controller:
2.4.1
|
CVE-2022-41743
| NGINX ngx_http_hls_module漏洞
| 高
7.0
越界写入
| NGINX Plus
NGINX Ingress Controller
| NGINX Plus:
R27 P1
R26 P1
NGINX Ingress Controller:
2.4.1
|
CVE-2022-41770
| BIG-IP and BIG-IQ iControl REST漏洞
| 中
6.5
拒绝服务
| BIG-IP (所有模块)
BIG-IQ Centralized Management
| BIG-IP
17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1
BIG-IQ CM
None
|
CVE-2022-41694
| BIG-IP and BIG-IQ MCPD 漏洞
| 中
4.9
拒绝服务
| BIG-IP (所有模块)
BIG-IQ Centralized Management
| BIG-IP
17.0.0
16.1.3
15.1.6.1
14.1.5
BIG-IQ CM
8.2.0.1
|
CVE-2022-41813
| BIG-IP PEM and AFM TMUI, TMSH and iControl 漏洞
| 中
6.5
拒绝服务
| BIG-IP (AFM/PEM)
| 16.1.3.1
15.1.6.1
14.1.5
|
CVE-2022-36795
| BIG-IP software SYN cookies 漏洞
| 中
5.3
拒绝服务
| BIG-IP (所有模块)
| 17.0.0.1
16.1.3.1
15.1.7
14.1.5.1
|
CVE-2022-41780
| F5OS CLI 权限管理漏洞
| 中
5.5
路径遍历
| F5OS
| F5OS-A:
1.1.0
F5OS-C:
1.4.0
|
CVE-2022-41983
| BIG-IP TMM 漏洞
| 低
3.7
敏感信息
明文传输
| BIG-IP (所有模块)
| 16.1.3.1
15.1.7
14.1.5.1
|
参考信息:https://support.f5.com/csp/article/K30425568
------------------------------------------------------------
国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。
在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结 果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
我们鼓励所有计算机与网络安全研究机构,包括厂商和科研院所,向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站和国家信息安全漏洞共享平台(CNVD)公布漏洞信息及指导受影响用户采取措施以避免损失。
如果您发现本公告存在任何问题,请与我们联系:vreport@cert.org.cn。
吉公网安备 22017202000203号
