8 maja 2024 r. firma F5 opublikowała aktualizacje zabezpieczeń dla wielu produktów. Uwzględniono aktualizacje następujących elementów:
• BIG-IP (wszystkie moduły) – wiele wersji i modeli
• BIG-IP Next Central Manager – wiele wersji i modeli
• BIG-IP (AFM) – wiele wersji i modeli
• BIG-IP Next CN – wiele wersji i modeli
Z raportów typu open source wynika, że w przypadku niektórych z tych luk dostępny jest kod exploita sprawdzający koncepcję.
Wysoka krytyczność CVE
Opis | CVSS | Produkt | Wersja | Patch |
K000138636: BIG-IP Configuration utility XSS vulnerability CVE-2024-31156 | 8.0 | BIG-IP (Wszystkie moduły) | 17.1.0 – 17.1.1 16.1.0 – 16.1.4 15.1.0 – 15.1.10 | 17.1.1.3 16.1.4.3 15.1.10.4 |
K000138732: BIG-IP Next Central Manager OData Injection vulnerability CVE-2024-21793 | 7.5 | BIG-IP Next Central Manager | 20.0.1 – 20.1.0 | 20.2.0 |
K000138733: BIG-IP Next Central Manager SQL Injection vulnerability CVE-2024-26026 | 7.5 | BIG-IP Next Central Manager | 20.0.1 – 20.1.0 | 20.2.0 |
K000138728: BIG-IP IPsec vulnerability CVE-2024-33608 | 7.5 | BIG-IP (Wszystkie moduły) | 17.1.0 | 17.1.1 |
K000139037: TMM vulnerability CVE-2024-25560 | 7.5 | BIG-IP (AFM) | 17.1.0 16.1.0 – 16.1.3 15.1.10 | 17.1.1 16.1.4 |
BIG-IP Next CNF | 1.1.0 – 1.1.1 | 1.2.0 | ||
K000138634: BIG-IP Next Central Manager vulnerability CVE-2024-32049 | 7.4 | BIG-IP Next Central Manager | 20.0.1 – 20.0.2 | 20.1.0 |
K000138744: BIG-IP APM browser network access VPN client vulnerability CVE-2024-28883 | 7.4 | BIG-IP (APM) | 17.1.0 16.1.0 – 16.1.4 15.1.0 – 15.1.10 | 17.1.1 16.1.4.2 15.1.10.3 |
APM Clients | 7.2.3 – 7.2.4 | 7.2.4.42 |
Średnia krytyczność CVE
Opis | CVSS | Produkt | Wersja | Patch |
K000139012: BIG-IP Next Central Manager vulnerability CVE-2024-33612 | 6.8 | BIG-IP Next Central Manager | 20.0.1 – 20.1.0 | 20.2.02 |
K000139217: BIG-IP TMM tenants on VELOS and rSeries vulnerability CVE-2024-32761 | 6.5 | BIG-IP (Wszystkie moduły) | 15.1.0 – 15.1.9 | 15.1.10 |
K000138894: BIG-IP Configuration utility XSS vulnerability CVE-2024-33604 | 6.1 | BIG-IP (Wszystkie moduły) | 17.1.0 – 17.1.1 16.1.0 – 16.1.4 15.1.0 – 15.1.10 | 17.1.1.3 16.1.4.3 15.1.10.4 |
K000138912: BIG-IP SSL vulnerability CVE-2024-28889 | 5.9 | BIG-IP (Wszystkie moduły) | 17.1.0 – 17.1.1 16.1.2.1 – 16.1.4 15.1.5 – 15.1.10 | 17.1.1.3 16.1.4.3 15.1.10.4 |
K000138520: BIG-IP Configuration utility vulnerability CVE-2024-27202 | 4.7 | BIG-IP (Wszystkie moduły) | 17.1.0 – 17.1.1 16.1.0 – 16.1.4 15.1.0 – 15.1.10 | 17.1.1.3 16.1.4.3 15.1.10.4 |
K000138913: BIG-IP Next CNF vulnerability CVE-2024-28132 | 4.4 | BIG-IP Next CNF | 1.2.0 – 1.2.1 | 1.3.0 |
Opis | CVSS | Produkt | Wersja |
K000132430: The BIG-IP system may fail to block HTTP Request Smuggling attacks | BIG-IP (Wszystkie moduły) | 16.1.0 – 16.1.3 15.1.0 – 15.1.8 | 17.1.0 16.1.4 15.1.9 |
BIG-IP Next SPK | 1.5.0 – 1.6.0 | 1.7.0 | |
K11342432: BIG-IP HTTP non-RFC-compliant security exposure | BIG-IP (Advanced WAF/ASM) | 16.1.0 – 16.1.3 15.1.0 – 15.1.6 | 17.1.0 16.1.4 15.1.7 |
BIG-IP (wszystkie inne moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 | 17.1.0 16.1.2.2 15.1.5.1 | |
K000138898: BIG-IP Advanced WAF/ASM, BIG-IP Next WAF, and NGINX App Protect WAF attack signature check failure | BIG-IP (Advanced WAF/ASM) | 17.1.0 – 17.1.1 16.1.0 – 16.1.4 15.1.0 – 15.1.10 | 17.1.1.3 16.1.4.3 15.1.10.4 |
BIG-IP Next (WAF) | 20.0.1 – 20.1.0 | 20.2.0 | |
NGINX App Protect WAF | 4.0.0 – 4.8.0 3.10.0 – 3.12.2 | 4.8.1 |