【漏洞通告】F5 8月多个安全漏洞

admin 2022年8月6日00:46:19安全漏洞评论11 views3627字阅读12分5秒阅读模式

0x00 漏洞概述

2022年8月3日,F5发布安全公告,修复了其多个产品中的多个安全漏洞,这些漏洞可能导致信息泄露、安全绕过、权限提升和拒绝服务等。


0x01 漏洞详情

F5本次共修复了22个漏洞,其中有12个漏洞评级为高危,8个漏洞评级为中危,1个漏洞评级为低危,详情如下:

CVE-ID

名称

评分

受影响产品

影响范围

修复版本

CVE-2022-35243

F5 BIG-IP  iControl REST

安全绕过漏洞(仅设备模式下,且需身份验证)

8.7

BIG-IP(所有模块)

16.1.0 - 16.1.2

15.1.0 - 15.1.5

14.1.0 - 14.1.4

13.1.0 - 13.1.5

17.0.0

16.1.3

15.1.5.1

14.1.5

CVE-2022-35728

F5 BIG-IP 和BIG-IQ iControl REST会话过期漏洞

8.1

BIG-IP(所有模块)

17.0.0

16.1.0 - 16.1.3

15.1.0 - 15.1.6

14.1.0 - 14.1.5

13.1.0 - 13.1.5

17.0.0.1

16.1.3.1

15.1.6.1

14.1.5.1

BIG-IQ 集中管理

8.0.0 - 8.1.0

7.0.0 - 7.1.0

8.2.0

CVE-2022-34655

F5 BIG-IP TMM 拒绝服务漏洞

7.5

BIG-IP(所有模块)

16.0.0 - 16.0.1

15.1.0 - 15.1.6

14.1.0 - 14.1.4

17.0.0

16.1.0

16.0.1.1

15.1.6.1

14.1.5

CVE-2022-35245

F5 BIG-IP APM 访问策略漏洞

7.5

BIG-IP (APM)

16.1.0 - 16.1.3

15.1.0 - 15.1.6

14.1.0 - 14.1.5

17.0.0

16.1.3.1

15.1.6.1

14.1.5.1

CVE-2022-35240

F5 BIG-IP消息路由MQTT拒绝服务漏洞

7.5

BIG-IP(所有模块)

16.1.0 - 16.1.2

15.1.0 - 15.1.6

14.1.0 - 14.1.4

17.0.0

16.1.2.2

15.1.6.1

14.1.5

CVE-2022-35236

F5 BIG-IP HTTP2配置文件拒绝服务漏洞

7.5

BIG-IP(所有模块)

16.1.0 - 16.1.2

15.1.0 - 15.1.6

14.1.0 - 14.1.4

17.0.0

16.1.2.2

15.1.6.1

14.1.5

CVE-2022-34651

F5 BIG-IP TLS  1.3 iRule 拒绝服务漏洞

7.5

BIG-IP(所有模块)

16.1.0 - 16.1.3

15.1.0 - 15.1.6

17.0.0

16.1.3.1

15.1.6.1

CVE-2022-32455

F5 BIG-IP TMM拒绝服务漏洞

7.5

BIG-IP(所有模块)

16.1.0 - 16.1.2

15.1.0 - 15.1.6

14.1.0 - 14.1.4

13.1.0 - 13.1.5

17.0.0

16.1.2.2

15.1.6.1

14.1.5

CVE-2022-34862

F5 BIG-IP TMM拒绝服务漏洞

7.5

BIG-IP(所有模块)

16.1.0 - 16.1.3

15.1.0 - 15.1.6

14.1.0 - 14.1.4

13.1.0 - 13.1.5

17.0.0

16.1.3.1

15.1.6.1

14.1.5

CVE-2022-33203

F5 BIG-IP APM 和SSL Orchestrator拒绝服务漏洞

7.5

BIG-IP (APM 和SSL Orchestrator)

16.1.0 - 16.1.2

15.1.0 - 15.1.6

14.1.0 - 14.1.4

17.0.0

16.1.3

15.1.6.1

14.1.5

CVE-2022-35272

F5 BIG-IP HTTP  MRF拒绝服务漏洞

7.5

BIG-IP(所有模块)

17.0.0

16.1.0 - 16.1.3

17.0.0.1

16.1.3.1

CVE-2022-35735

F5 BIG-IP监视器配置权限提升漏洞

7.2

BIG-IP(所有模块)

16.1.0 - 16.1.3

15.1.0 - 15.1.6

14.1.0 - 14.1.5

13.1.0 - 13.1.5

17.0.0

16.1.3.1

15.1.6.1

14.1.5.1

CVE-2022-31473

F5 BIG-IP APM 设备模式安全绕过漏洞(iApps 中存在目录遍历漏洞)

6.8

BIG-IP (APM)

16.1.0

15.1.0 - 15.1.3

17.0.0

16.1.1

15.1.4

CVE-2022-33962

F5 BIG-IP  iRules访问控制限制绕过漏洞

6.7

BIG-IP(所有模块)

17.0.0

16.1.0 - 16.1.3

15.1.0 - 15.1.6

14.1.0 - 14.1.5

13.1.0 - 13.1.5

17.0.0.1

16.1.3.1

15.1.6.1

14.1.5.1

CVE-2022-35241

NGINX 实例管理器拒绝服务漏洞

6.5

NGINX Instance  Manager

2.0.0 - 2.3.0

1.0.0 - 1.0.4

2.3.1

CVE-2022-30535

NGINX 入口控制器信息泄露漏洞

6.5

NGINX Ingress Controller

2.0.0 - 2.2.0

1.0.0 - 1.12.4

2.3.0

CVE-2022-34844

F5 BIG-IP 和 BIG-IQ AWS拒绝服务漏洞

5.9

BIG-IP(所有模块)

16.1.0 - 16.1.3

15.1.0 - 15.1.6

17.0.0

16.1.3.1

15.1.6.1

BIG-IQ 集中管理

8.0.0 - 8.2.0

Null

CVE-2022-33947

BIG-IP DNS TMUI拒绝服务漏洞

5.4

BIG-IP (DNS)

16.0.0 - 16.1.2

15.1.0 - 15.1.6

14.1.0 - 14.1.4

13.1.0 - 13.1.5

17.0.0

16.1.3

15.1.6.1

14.1.5

CVE-2022-34865

F5 BIG-IP  Traffic Intelligence Feeds证书验证错误漏洞

4.8

BIG-IP(所有模块)

15.1.0 - 15.1.6

14.1.0 - 14.1.4

13.1.0 - 13.1.5

16.1.0

15.1.6.1

14.1.5

CVE-2022-34851

F5 BIG-IP 和 BIG-IQ iControl SOAP拒绝服务漏洞

4.3

BIG-IP(所有模块)

17.0.0

16.1.0 - 16.1.3

15.1.0 - 15.1.6

14.1.0 - 14.1.5

13.1.0 - 13.1.5

17.0.0.1

16.1.3.1

15.1.6.1

14.1.5.1

BIG-IQ 集中管理

8.0.0 - 8.2.0

Null

CVE-2022-33968

F5 BIG-IP LTM 和 APM NTLM越界读取漏洞

3.7

BIG-IP(所有模块)

17.0.0

16.1.0 - 16.1.3

15.1.0 - 15.1.6

14.1.0 - 14.1.5

13.1.0 - 13.1.5

17.0.0.1

16.1.3.1

15.1.6.1

14.1.5.1

F5 BIG-IP攻击签名检查安全漏洞

Null

BIG-IP  (ASM/AWAF)

16.1.0 - 16.1.2

15.1.0 - 15.1.6

14.1.0 - 14.1.4

13.1.0 - 13.1.5

17.0.0

16.1.2.2

15.1.6.1

14.1.5


0x02 处置建议

目前这些漏洞已经修复,受影响用户可参考上表升级到相应修复版本。
下载链接:
https://support.f5.com/csp/home


0x03 参考链接

https://support.f5.com/csp/article/K14649763
https://support.f5.com/csp/article/K11010341
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/04/f5-releases-security-updates


0x04 更新版本

版本

日期

修改内容

V1.0

2022-08-05

首次发布


0x05 附录

公司简介
启明星辰成立于1996年,是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决方案的领航企业之一。
公司总部位于北京市中关村软件园启明星辰大厦,公司员工近4000人,研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个,拥有覆盖全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。(股票代码:002439)
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。

关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯:

【漏洞通告】F5 8月多个安全漏洞


原文始发于微信公众号(维他命安全):【漏洞通告】F5 8月多个安全漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月6日00:46:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞通告】F5 8月多个安全漏洞 http://cn-sec.com/archives/1224295.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: