W dniu 4 maja 2022 r. firma F5 opublikowała porady dotyczące bezpieczeństwa dotyczące luk w następujących produktach:
BIG-IP – wiele modułów i wersji
Wykorzystywanie niektórych z tych luk może prowadzić do zdalnego wykonania kodu, odmowy usługi lub nieautoryzowanego dostępu.
Critical CVEs
Opis | CVSS | Produkt | Wersja | Update |
K23605346: BIG-IP iControl REST vulnerability CVE-2022-1388 | 9.8 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
High CVEs
Opis | CVSS | Produkt | Wersja | Update |
K52322100: Authenticated F5 BIG-IP Guided Configuration integrity check in Appliance mode vulnerability CVE-2022-25946 | 8.7 | BIG-IP Guided Configuration | 3.0 – 8.0 | 9.0 |
BIG-IP (ASM, Advanced WAF, APM) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0.8 – 13.1.5 | 17.0.0 | ||
K68647001: Authenticated F5 BIG-IP Guided Configuration in Appliance mode vulnerability CVE-2022-27806 | 8.7 | BIG-IP Guided Configuration | 3.0 – 8.0 | 9.0 |
BIG-IP (Advanced WAF, APM, ASM) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0.8 – 13.1.5 | 17.0.0 | ||
K70300233: BIG-IP TMUI XSS vulnerability CVE-2022-28707 | 8.0 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 |
K33552735: BIG-IP Edge Client for Windows vulnerability CVE-2022-29263 | 7.8 | BIG-IP (APM) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
BIG-IP APM Clients | 7.1.8 – 7.2.1 | 7.2.2 7.2.1.5 | ||
K81952114: Authenticated iControl REST in Appliance mode vulnerability CVE-2022-26415 | 7.7 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
K23454411: DNS profile vulnerability CVE-2022-26372 | 7.5 | BIG-IP (wszystkie moduły) | 15.1.0 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 16.0.0 15.1.0.2 14.1.4.6 13.1.5 |
K25451853: TMUI XSS vulnerability CVE-2022-28716 | 7.5 | BIG-IP (AFM, CGNAT, PEM) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
K16187341: BIG-IP ICAP profile vulnerability CVE-2022-27189 | 7.5 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
K21317311: F5 BIG-IP Guided Configuration XSS vulnerability CVE-2022-27230 | 7.5 | BIG-IP Guided Configuration | 3.0 – 8.0 | 9.0 |
BIG-IP (APM) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0.8 – 13.1.5 | 17.0.0 | ||
K37155600: BIG-IP RTSP profile vulnerability CVE-2022-28691 | 7.5 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.4 14.1.0 – 14.1.4 13.1.0 – 13.1.4 | 17.0.0 16.1.2.2 15.1.5 14.1.4.6 13.1.5 |
K14229426: BIG-IP SSL vulnerability CVE-2022-29491 | 7.5 | BIG-IP (LTM, Advanced WAF, ASM, APM) | 16.1.0 – 16.1.2 15.1.0 – 15.1.4 14.1.0 – 14.1.4 13.1.0 – 13.1.5 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.2.2 15.1.5 14.1.4.6 |
K52340447: F5 ePVA vulnerability CVE-2022-28705 | 7.5 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
K03442392: BIG-IP ASM and F5 Advanced WAF vulnerability CVE-2022-26890 | 7.5 | BIG-IP (ASM, Advanced WAF, APM) | 16.1.0 – 16.1.2 15.1.0 – 15.1.4 14.1.0 – 14.1.4 13.1.0 – 13.1.4 | 17.0.0 16.1.2.1 15.1.5 14.1.4.6 13.1.5 |
K99123750: BIG-IP Stream profile vulnerability CVE-2022-28701 | 7.5 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 | 17.0.0 16.1.2.2 |
K41440465: BIG-IP TMM vulnerability CVE-2022-26071 | 7.4 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
K54460845: BIG-IP Edge Client for Windows vulnerability CVE-2022-28714 | 7.3 | BIG-IP (APM) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
BIG-IP APM Clients | 7.2.1 – 7.2.1 7.1.6 – 7.1.9 | 7.2.2 7.2.1.5 | ||
K08510472: BIG-IP TMUI vulnerability CVE-2022-28695 | 7.2 | BIG-IP (AFM) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
Medium CVEs
Opis | CVSS | Produkt | Wersja | Update |
K92807525: TMUI XSS vulnerability CVE-2022-27878 | 6.8 | BIG-IP Guided Configuration | 6.0 – 8.0 | 9.0 |
BIG-IP (wszystkie moduły) | 16.0.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0.4 – 13.1.5 | 17.0.0 | ||
K94093538: NGINX Service Mesh control plane vulnerability CVE-2022-27495 | 6.5 | NGINX Service Mesh | 1.3.0 – 1.3.1 | 1.4.0 |
K57555833: BIG-IP APM vulnerability CVE-2022-27634 | 6.5 | BIG-IP (APM) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 | 17.0.0 16.1.2.2 15.1.5.1 |
K47662005: BIG-IP Net HSM script vulnerability CVE-2022-28859 | 6.5 | BIG-IP (wszystkie moduły) | 16.0.0 – 16.0.1 15.1.0 – 15.1.5 14.1.0 – 14.1.4 | 17.0.0 16.1.0 15.1.5.1 14.1.4.6 |
K06323049: BIG-IP IPsec ALG vulnerability CVE-2022-29473 | 5.9 | BIG-IP (wszystkie moduły) | 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 | 16.1.0 15.1.5.1 14.1.4.5 13.1.5 |
K51539421: BIG-IP SIP ALG profile vulnerability CVE-2022-26370 | 5.9 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.4 14.1.0 – 14.1.4 | 17.0.0 16.1.2.2 15.1.5 14.1.4.6 |
K54082580: BIG-IP CGNAT LSN vulnerability CVE-2022-26517 | 5.9 | BIG-IP (wszystkie moduły) | 16.0.0 – 16.0.1 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 | 17.0.0 16.1.0 15.1.5.1 14.1.4.6 13.1.5 |
K03755971: BIG-IP DNS resolver vulnerability CVE-2022-28706 | 5.9 | BIG-IP (wszystkie moduły) | 16.0.0 – 16.1.1 15.1.0 – 15.1.5 | 17.0.0 16.1.2 15.1.5.1 |
K85054496: BIG-IP DNS resolver vulnerability CVE-2022-28708 | 5.9 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 | 17.0.0 16.1.2.2 15.1.5.1 |
K40019131: F5 Access for Android vulnerability CVE-2022-27875 | 5.5 | F5 Access for Android | 3.0.6 – 3.0.7 | 3.0.8 |
K57110035: BIG-IP APM Edge client for Windows logging vulnerability CVE-2022-27636 | 5.5 | BIG-IP (APM) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
BIG-IP APM Clients | 7.1.6 – 7.2.1 | 7.2.1.5 | ||
K44233515: F5OS-A vulnerability CVE-2022-25990 | 5.3 | F5OS-A | 1.0.0 | 1.0.1 |
K82034427: BIG-IP FTP profile vulnerability CVE-2022-26130 | 5.3 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
K71103363: BIG-IP big3d vulnerability CVE-2022-29480 | 5.3 | BIG-IP (wszystkie moduły) | 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 14.0.0 13.1.5 |
K64124988: TMM IPv6 stack vulnerability CVE-2022-29479 | 5.3 | BIG-IP (wszystkie moduły) | 16.0.0 – 16.0.1 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.0 15.1.5.1 14.1.4.6 13.1.5 |
BIG-IQ Centralized Management | 8.0.0 – 8.2.0 7.0.0 – 7.1.0 | None | ||
K31856317: BIG-IP Packet Filters vulnerability CVE-2022-27182 | 5.3 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 |
K93543114: BIG-IP APM vulnerability CVE-2022-27181 | 5.3 | BIG-IP (APM) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
K53197140: BIG-IP iControl REST and tmsh vulnerabilities CVE-2022-26835 | 4.9 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
6.8 | ||||
K38271531: BIG-IP and BIG-IQ SCP vulnerability CVE-2022-26340 | 4.9 | BIG-IP (wszystkie moduły) | 16.0.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |
BIG-IQ Centralized Management | 8.0.0 – 8.2.0 7.0.0 – 7.1.0 | None | ||
K24248011: Traffix SDC Configuration utility vulnerability CVE-2022-27662 | 4.8 | Traffix SDC | 5.2.0 5.1.0 | 5.2.2 5.1.35 |
K17341495: Traffix SDC Configuration utility vulnerability CVE-2022-27880 | 4.8 | Traffix SDC | 5.2.0 5.1.0 | 5.2.2 5.1.35 |
K15101402: iControl REST vulnerability CVE-2022-1468 | 4.3 | BIG-IP (wszystkie moduły) | 17.0.0 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.5 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | None |
K41877405: BIG-IP TMUI vulnerability CVE-2022-27659 | 4.3 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 |
K59904248: iControl SOAP vulnerability CVE-2022-29474 | 4.3 | BIG-IP (wszystkie moduły) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5 |