[TLP:CLEAR] F5 opravuje 9 zraniteľností v rôznych produktoch
F5 opravuje 9 zraniteľností v produktoch BIG-IP, BIG-IP Next Central Manager, BIG-IP Next SPK a BIG-IP Next CNF [1][2][3][4][5]. Najzávažnejšie zraniteľnosti sú uvedené nižšie. Jednotlivé produkty a ich opravené verzie: BIG-IP (všetky moduly) - 17.1.1, 16.1.5 [3][4][5] BIG-IP Next Central Manager - 20.2.1 [1][2] BIG-IP Next SPK - 1.9.0 [5] BIG-IP Next CNF - 1.2.0 [5]
Neautentizovanému vzdialenému útočníkovi je v BIG-IP Next Central Manager za určitých okolností umožnené vydávať sa za iného používateľa využitím starého tokenu relácie [1].
Zraniteľnosť sa nachádza v produkte BIG-IP Next Central Manager vo verziách >=20.1 AND <20.2.
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-39809 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-613: Insufficient Session Expiration at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je v BIG-IP Next Central Manager za určitých okolností umožnené blokovať prístup do cudzích účtov [2].
Zraniteľnosť sa nachádza v produkte BIG-IP Next Central Manager vo verziách >=20.1 AND <20.2.1.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Viac informácií:
- CVE-2024-37028 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-645: Overly Restrictive Account Lockout Mechanism at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je v BIG-IP umožnené vykonať DoS útok. Zraniteľnosť je zneužiteľná iba v prípade, ak je na stroji nakonfigurovaný bezstavový virtuálny server spolu s HSB (High-Speed Bridge) [3].
Zraniteľnosť sa nachádza v produkte BIG-IP vo verziách (>=15.1 AND <16.1.5) OR (>=17.1 AND <17.1.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-39778 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je v BIG-IP umožnené vykonať DoS útok. Zraniteľnosť je zneužiteľná iba v prípade, že BIG-IP beží na hardvéri zo sérií r2000 alebo r4000, prípadne, že virtuálna verzia BIG-IP využíva Intel E810 SR-IOV NIC [4].
Zraniteľnosť sa nachádza v produkte BIG-IP vo verziách (>=15.1.0 AND <=15.1.10) OR (>=16.1.0 AND <16.1.5).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-41727 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je v BIG-IP a BIG-IP Next (SPK, CNF) za určitých okolností umožnené vykonať DoS útok. Zraniteľnosť je zneužiteľná iba v prípade, že BIG-IP beží na virtuálnom serveri, ktorý je nakonfigurovaný tak, aby využíval viaccestný TCP protokol [5].
Zraniteľnosť sa nachádza v produktoch:
- BIG-IP Next SPK vo verziách >=1.7 AND <1.9
- BIG-IP Next CNF vo verziách >=1.1 AND <1.2
- BIG-IP vo verziách (>=15.1 AND <15.1.10) OR (>=16.1 AND <16.1.5) OR (>=17.1 AND <17.1.1)
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-41164 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 8. 2024.