[TLP:CLEAR] F5 opravuje 6 zranitelností v různých produktech
F5 opravuje 6 zranitelností ve svých produktech. Nejzávažnější z nich jsou uvedeny níže, zbylé naleznete na [1]. Jednotlivé produkty a jejich opravené verze: BIG-IP (všechny moduly) - 17.1.2.2, 16.1.6, Hotfix-BIGIP-17.5.1.0.80.7-ENG.iso, Hotfix-BIGIP-17.1.2.2.0.259.12-ENG.iso, Hotfix-BIGIP-16.1.6.0.27.3-ENG.iso; BIG-IP (APM) - 17.1.2.2, 16.1.6; F5 Access for Android - 3.1.2; APM Clients - 7.2.5.3; NGINX Plus - R35, R34 P2, R33 P3, R32 P3; NGINX Open Source - 1.29.1. Detailní informace o opravených verzích pro jednotlivé zranitelnosti lze nalézt v přehledné tabulce na [1].
Neautentizovanému vzdálenému útočníkovi je kvůli povoleným anonymním Diffie-Hellman šifrám (ADH) v Client SSL profilu s aktivním SSL Forward Proxy umožněno vyvolat pád procesu Traffic Management Microkernel (TMM), a tak vykonat DoS útok. Není-li možná okamžitá aktualizace na opravenou verzi, lze dopad zranitelnosti dočasně mitigovat zakázáním ADH šifer, například přidáním parametru „!ADH“ do konfigurace vlastních sad šifer [2].
Zranitelnost se nachází v produktu BIG-IP ve verzích (>=17.1.0 AND <=17.1.2) OR (>=16.1.0 AND <=16.1.5 AND >=15.1.0 AND <=15.1.10).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-52585 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 8. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli chybnému zpracování provozu na BIG-IP APM virtuálním serveru s povoleným Network Access umožněno vyvolat pád procesu TMM, a tak vykonat DoS útok v datové rovině [3].
Zranitelnost se nachází v produktu BIG-IP ve verzích (>=17.1.0 AND <=17.1.2) OR (>=16.1.0 AND <=16.1.5 AND >=15.1.0 AND <=15.1.10).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-46405 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-121: Stack-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 8. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli neověřování identity vzdáleného koncového bodu v aplikaci F5 Access for Android umožněno při útoku man-in-the-middle číst i upravovat data přenášená přes HTTPS [4].
Zranitelnost se nachází v produktu F5 Access for Android ve verzích >=3.1.0 AND <=3.1.1.
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2025-54809 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-295: Improper Certificate Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 8. 2025.
Autentizovanému lokálnímu útočníkovi je kvůli chybějící kontrole integrity souboru v instalačním programu F5 VPN klienta v prohlížeči pro macOS umožněno nahradit instalační balíček škodlivým, což může vést k obejití kontroly koncového zařízení a zvýšení oprávnění. Není-li možná okamžitá aktualizace na opravenou verzi, lze dopad zranitelnosti dočasně mitigovat použitím BIG-IP Edge Client pro macOS místo prohlížečového VPN klienta [5].
Zranitelnost se nachází v produktech:
- BIG-IP ve verzích (>=17.5.0 AND <=17.5.1) OR (>=17.1.0 AND <=17.1.2) OR (>=16.1.0 AND <=16.1.6) OR (>=15.1.0 AND <=15.1.10)
- APM Clients ve verzích =7.2.5
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-48500 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-353: Missing Support for Integrity Check at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 8. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 21. 8. 2025.
