10月19日,F5发布了2022年第四季度的季度安全通告,修复了多款产品存在的18个安全漏洞。受影响的产品包括:BIG-IP(14个)、BIG-IQ(2个)、F5OS(2个)、NGINX PLUS(3个)、NGINX Open Source(2个)、NGINX Ingress Controller(3个)等。
利用上述漏洞,攻击者可进行拒绝服务攻击,绕过安全功能限制,提升权限,或数据泄漏等攻击。提醒广大F5师生用户尽快更新至最新版本系统,避免引发漏洞相关的网络安全事件。
|
CVE编号 |
公告标题 |
最高风险等级和风险类型 |
受影响产品 |
修复版本 |
|
CVE-2022-41691 |
BIG-IP Advanced WAF/ASM bd漏洞 |
高 7.5 拒绝服务 |
BIG-IP (Advanced WAF/ASM) |
14.1.5.2 |
|
CVE-2022-41617 |
BIG-IP AWAF/ASM iControl REST 漏洞 |
高 7.2 (标准模式) 9.1 (设备模式) 命令注入 |
BIG-IP (Advanced WAF/ASM) |
16.1.3.1 |
|
CVE-2022-41787 |
BIG-IP DNS Express 漏洞 |
高 7.5 拒绝服务 |
BIG-IP (DNS, 或开启DNS services许可的LTM) |
17.0.0.1 |
|
CVE-2022-41832 |
BIG-IP SIP漏洞 |
高 7.5 拒绝服务 |
BIG-IP (所有模块) |
17.0.0.1 |
|
CVE-2022-41624 |
BIG-IP iRules漏洞 |
高 7.5 拒绝服务 |
BIG-IP (所有模块) |
17.0.0.1 |
|
CVE-2022-41806 |
BIG-IP AFM NAT64 策略漏洞 |
高 7.5 拒绝服务 |
BIG-IP (AFM) |
16.1.3.2 |
|
CVE-2022-41833 |
BIG-IP iRule漏洞 |
高 7.5 拒绝服务 |
BIG-IP (所有模块) |
15.0.0 |
|
CVE-2022-41836 |
BIG-IP Advanced WAF and ASM BD 进程漏洞 |
高 7.5 拒绝服务 |
BIG-IP (Advanced WAF, ASM) |
17.0.0.1 |
|
CVE-2022-41835 |
F5OS 文件管理漏洞 |
高 7.3 权限管理不当 |
F5OS |
F5OS-A: |
|
CVE-2022-41741 |
NGINX ngx_http_mp4_module漏洞 |
高 7.0 越界写入 |
NGINX Plus |
NGINX Plus: R27 P1 |
|
CVE-2022-41742 |
NGINX ngx_http_mp4_module漏洞 |
高 7.1 越界读取 |
NGINX Plus |
NGINX Plus: R27 P1 |
|
CVE-2022-41743 |
NGINX ngx_http_hls_module漏洞 |
高 7.0 越界写入 |
NGINX Plus |
NGINX Plus: |
|
CVE-2022-41770 |
BIG-IP and BIG-IQ iControl REST漏洞 |
中 6.5 拒绝服务 |
BIG-IP (所有模块) |
BIG-IP |
|
CVE-2022-41694 |
BIG-IP and BIG-IQ MCPD 漏洞 |
中 4.9 拒绝服务 |
BIG-IP (所有模块) |
BIG-IP |
|
CVE-2022-41813 |
BIG-IP PEM and AFM TMUI, TMSH and iControl 漏洞 |
中 6.5 拒绝服务 |
BIG-IP (AFM/PEM) |
16.1.3.1 |
|
CVE-2022-36795 |
BIG-IP software SYN cookies 漏洞 |
中 5.3 拒绝服务 |
BIG-IP (所有模块) |
17.0.0.1 |
|
CVE-2022-41780 |
F5OS CLI 权限管理漏洞 |
中 5.5 路径遍历 |
F5OS |
F5OS-A: |
|
CVE-2022-41983 |
BIG-IP TMM 漏洞 |
低 3.7 敏感信息 |
BIG-IP (所有模块) |
16.1.3.1 |
参考信息:https://support.f5.com/csp/article/K30425568
信息来源:https://www.cnvd.org.cn/webinfo/show/8226
评论(0)