F5 Networks publikuje podatności dla swoich produktów

W dniu 4 maja 2022 r. firma F5 opublikowała porady dotyczące bezpieczeństwa dotyczące luk w następujących produktach:

     BIG-IP – wiele modułów i wersji

Wykorzystywanie niektórych z tych luk może prowadzić do zdalnego wykonania kodu, odmowy usługi lub nieautoryzowanego dostępu.

Critical CVEs

Opis	CVSS	Produkt	Wersja	Update
K23605346: BIG-IP iControl REST vulnerability CVE-2022-1388	9.8	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5

High CVEs

Opis	CVSS	Produkt	Wersja	Update
K52322100: Authenticated F5 BIG-IP Guided Configuration integrity check in Appliance mode vulnerability CVE-2022-25946	8.7	BIG-IP Guided Configuration	3.0 – 8.0	9.0
BIG-IP (ASM, Advanced WAF, APM)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0.8 – 13.1.5	17.0.0
K68647001: Authenticated F5 BIG-IP Guided Configuration in Appliance mode vulnerability CVE-2022-27806	8.7	BIG-IP Guided Configuration	3.0 – 8.0	9.0
BIG-IP (Advanced WAF, APM, ASM)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0.8 – 13.1.5	17.0.0
K70300233: BIG-IP TMUI XSS vulnerability CVE-2022-28707	8.0	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6
K33552735: BIG-IP Edge Client for Windows vulnerability CVE-2022-29263	7.8	BIG-IP (APM)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5
BIG-IP APM Clients	7.1.8 – 7.2.1	7.2.2 7.2.1.5
K81952114: Authenticated iControl REST in Appliance mode vulnerability CVE-2022-26415	7.7	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5
K23454411: DNS profile vulnerability CVE-2022-26372	7.5	BIG-IP (wszystkie moduły)	15.1.0 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	16.0.0 15.1.0.2 14.1.4.6 13.1.5
K25451853: TMUI XSS vulnerability CVE-2022-28716	7.5	BIG-IP (AFM, CGNAT, PEM)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5
K16187341: BIG-IP ICAP profile vulnerability CVE-2022-27189	7.5	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5
K21317311: F5 BIG-IP Guided Configuration XSS vulnerability CVE-2022-27230	7.5	BIG-IP Guided Configuration	3.0 – 8.0	9.0
BIG-IP (APM)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0.8 – 13.1.5	17.0.0
K37155600: BIG-IP RTSP profile vulnerability CVE-2022-28691	7.5	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.4 14.1.0 – 14.1.4 13.1.0 – 13.1.4	17.0.0 16.1.2.2 15.1.5 14.1.4.6 13.1.5
K14229426: BIG-IP SSL vulnerability CVE-2022-29491	7.5	BIG-IP (LTM, Advanced WAF, ASM, APM)	16.1.0 – 16.1.2 15.1.0 – 15.1.4 14.1.0 – 14.1.4 13.1.0 – 13.1.5 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.2.2 15.1.5 14.1.4.6
K52340447: F5 ePVA vulnerability CVE-2022-28705	7.5	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5
K03442392: BIG-IP ASM and F5 Advanced WAF vulnerability CVE-2022-26890	7.5	BIG-IP (ASM, Advanced WAF, APM)	16.1.0 – 16.1.2 15.1.0 – 15.1.4 14.1.0 – 14.1.4 13.1.0 – 13.1.4	17.0.0 16.1.2.1 15.1.5 14.1.4.6 13.1.5
K99123750: BIG-IP Stream profile vulnerability CVE-2022-28701	7.5	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2	17.0.0 16.1.2.2
K41440465: BIG-IP TMM vulnerability CVE-2022-26071	7.4	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5
K54460845: BIG-IP Edge Client for Windows vulnerability CVE-2022-28714	7.3	BIG-IP (APM)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5
BIG-IP APM Clients	7.2.1 – 7.2.1 7.1.6 – 7.1.9	7.2.2 7.2.1.5
K08510472: BIG-IP TMUI vulnerability CVE-2022-28695	7.2	BIG-IP (AFM)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5

Medium CVEs

Opis	CVSS	Produkt	Wersja	Update
K92807525: TMUI XSS vulnerability CVE-2022-27878	6.8	BIG-IP Guided Configuration	6.0 – 8.0	9.0
BIG-IP (wszystkie moduły)	16.0.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0.4 – 13.1.5	17.0.0
K94093538: NGINX Service Mesh control plane vulnerability CVE-2022-27495	6.5	NGINX Service Mesh	1.3.0 – 1.3.1	1.4.0
K57555833: BIG-IP APM vulnerability CVE-2022-27634	6.5	BIG-IP (APM)	16.1.0 – 16.1.2 15.1.0 – 15.1.5	17.0.0 16.1.2.2 15.1.5.1
K47662005: BIG-IP Net HSM script vulnerability CVE-2022-28859	6.5	BIG-IP (wszystkie moduły)	16.0.0 – 16.0.1 15.1.0 – 15.1.5 14.1.0 – 14.1.4	17.0.0 16.1.0 15.1.5.1 14.1.4.6
K06323049: BIG-IP IPsec ALG vulnerability CVE-2022-29473	5.9	BIG-IP (wszystkie moduły)	15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4	16.1.0 15.1.5.1 14.1.4.5 13.1.5
K51539421: BIG-IP SIP ALG profile vulnerability CVE-2022-26370	5.9	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.4 14.1.0 – 14.1.4	17.0.0 16.1.2.2 15.1.5 14.1.4.6
K54082580: BIG-IP CGNAT LSN vulnerability CVE-2022-26517	5.9	BIG-IP (wszystkie moduły)	16.0.0 – 16.0.1 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4	17.0.0 16.1.0 15.1.5.1 14.1.4.6 13.1.5
K03755971: BIG-IP DNS resolver vulnerability CVE-2022-28706	5.9	BIG-IP (wszystkie moduły)	16.0.0 – 16.1.1 15.1.0 – 15.1.5	17.0.0 16.1.2 15.1.5.1
K85054496: BIG-IP DNS resolver vulnerability CVE-2022-28708	5.9	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.5	17.0.0 16.1.2.2 15.1.5.1
K40019131: F5 Access for Android vulnerability CVE-2022-27875	5.5	F5 Access for Android	3.0.6 – 3.0.7	3.0.8
K57110035: BIG-IP APM Edge client for Windows logging vulnerability CVE-2022-27636	5.5	BIG-IP (APM)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5
BIG-IP APM Clients	7.1.6 – 7.2.1	7.2.1.5
K44233515: F5OS-A vulnerability CVE-2022-25990	5.3	F5OS-A	1.0.0	1.0.1
K82034427: BIG-IP FTP profile vulnerability CVE-2022-26130	5.3	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5
K71103363: BIG-IP big3d vulnerability CVE-2022-29480	5.3	BIG-IP (wszystkie moduły)	13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	14.0.0 13.1.5
K64124988: TMM IPv6 stack vulnerability CVE-2022-29479	5.3	BIG-IP (wszystkie moduły)	16.0.0 – 16.0.1 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.0 15.1.5.1 14.1.4.6 13.1.5
BIG-IQ Centralized Management	8.0.0 – 8.2.0 7.0.0 – 7.1.0	None
K31856317: BIG-IP Packet Filters vulnerability CVE-2022-27182	5.3	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6
K93543114: BIG-IP APM vulnerability CVE-2022-27181	5.3	BIG-IP (APM)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5
K53197140: BIG-IP iControl REST and tmsh vulnerabilities CVE-2022-26835	4.9	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5
6.8
K38271531: BIG-IP and BIG-IQ SCP vulnerability CVE-2022-26340	4.9	BIG-IP (wszystkie moduły)	16.0.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5
BIG-IQ Centralized Management	8.0.0 – 8.2.0 7.0.0 – 7.1.0	None
K24248011: Traffix SDC Configuration utility vulnerability CVE-2022-27662	4.8	Traffix SDC	5.2.0 5.1.0	5.2.2 5.1.35
K17341495: Traffix SDC Configuration utility vulnerability CVE-2022-27880	4.8	Traffix SDC	5.2.0 5.1.0	5.2.2 5.1.35
K15101402: iControl REST vulnerability CVE-2022-1468	4.3	BIG-IP (wszystkie moduły)	17.0.0 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.5 12.1.0 – 12.1.6 11.6.1 – 11.6.5	None
K41877405: BIG-IP TMUI vulnerability CVE-2022-27659	4.3	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6
K59904248: iControl SOAP vulnerability CVE-2022-29474	4.3	BIG-IP (wszystkie moduły)	16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5	17.0.0 16.1.2.2 15.1.5.1 14.1.4.6 13.1.5