[TLP:CLEAR] F5 opravuje 9 zraniteľností v rôznych produktoch

F5 opravuje 9 zraniteľností v produktoch BIG-IP, BIG-IP Next Central Manager, BIG-IP Next SPK a BIG-IP Next CNF [1][2][3][4][5]. Najzávažnejšie zraniteľnosti sú uvedené nižšie. Jednotlivé produkty a ich opravené verzie: BIG-IP (všetky moduly) - 17.1.1, 16.1.5 [3][4][5] BIG-IP Next Central Manager - 20.2.1 [1][2] BIG-IP Next SPK - 1.9.0 [5] BIG-IP Next CNF - 1.2.0 [5]

F5 BIG-IP Next Central Manager - session token reuse (CVE-2024-39809) CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je v BIG-IP Next Central Manager za určitých okolností umožnené vydávať sa za iného používateľa využitím starého tokenu relácie [1].

Zraniteľnosť sa nachádza v produkte BIG-IP Next Central Manager vo verziách >=20.1 AND <20.2.

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 14. 8. 2024.

F5 BIG-IP Next Central Manager - account lock-out (CVE-2024-37028) CVSS 5.3 (Medium)

Neautentizovanému vzdialenému útočníkovi je v BIG-IP Next Central Manager za určitých okolností umožnené blokovať prístup do cudzích účtov [2].

Zraniteľnosť sa nachádza v produkte BIG-IP Next Central Manager vo verziách >=20.1 AND <20.2.1.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Viac informácií:

Zraniteľnosť bola verejne oznámená 14. 8. 2024.

F5 BIG-IP - DoS (CVE-2024-39778) CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je v BIG-IP umožnené vykonať DoS útok. Zraniteľnosť je zneužiteľná iba v prípade, ak je na stroji nakonfigurovaný bezstavový virtuálny server spolu s HSB (High-Speed Bridge) [3].

Zraniteľnosť sa nachádza v produkte BIG-IP vo verziách (>=15.1 AND <16.1.5) OR (>=17.1 AND <17.1.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 14. 8. 2024.

F5 BIG-IP - DoS (CVE-2024-41727) CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je v BIG-IP umožnené vykonať DoS útok. Zraniteľnosť je zneužiteľná iba v prípade, že BIG-IP beží na hardvéri zo sérií r2000 alebo r4000, prípadne, že virtuálna verzia BIG-IP využíva Intel E810 SR-IOV NIC [4].

Zraniteľnosť sa nachádza v produkte BIG-IP vo verziách (>=15.1.0 AND <=15.1.10) OR (>=16.1.0 AND <16.1.5).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 14. 8. 2024.

F5 BIG-IP, BIG-IP Next (SPK, CNF) - DoS (CVE-2024-41164) CVSS 5.9 (Medium)

Neautentizovanému vzdialenému útočníkovi je v BIG-IP a BIG-IP Next (SPK, CNF) za určitých okolností umožnené vykonať DoS útok. Zraniteľnosť je zneužiteľná iba v prípade, že BIG-IP beží na virtuálnom serveri, ktorý je nakonfigurovaný tak, aby využíval viaccestný TCP protokol [5].

Zraniteľnosť sa nachádza v produktoch:

  • BIG-IP Next SPK vo verziách >=1.7 AND <1.9
  • BIG-IP Next CNF vo verziách >=1.1 AND <1.2
  • BIG-IP vo verziách (>=15.1 AND <15.1.10) OR (>=16.1 AND <16.1.5) OR (>=17.1 AND <17.1.1)

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 14. 8. 2024.


Publikoval Martin Krajči dňa 22. 8. 2024.

CESNET CERTS Logo