19 października 2022 r. firma F5 opublikowała zalecenia dotyczące bezpieczeństwa dotyczące luk w zabezpieczeniach wielu produktów.

CVE o krytyczności Wysokiej

LinkCVSSProduktWersja podatnaAktualizacja
K43024307: BIG-IP iRules vulnerability CVE-2022-416247.5BIG-IP (wszystkie moduły)17.0.0
16.1.0 – 16.1.3
15.1.0 – 15.1.6
14.1.0 – 14.1.5
13.1.0 – 13.1.5
17.0.0.1
16.1.3.2
15.1.7
14.1.5.2
13.1.5.1
K02694732: BIG-IP Advanced WAF and ASM bd vulnerability CVE-2022-416917.5BIG-IP (Advanced WAF, ASM)14.1.514.1.5.2
K70569537: BIG-IP DNS Express vulnerability CVE-2022-417877.5BIG-IP (DNS, LTM enabled with DNS Services license)17.0.0
16.1.0 – 16.1.3
15.1.0 – 15.1.6
14.1.0 – 14.1.5
13.1.0 – 13.1.5
17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1
13.1.5.1
K00721320: BIG-IP AFM NAT64 policy vulnerability CVE-2022-418067.5BIG-IP (AFM)16.1.0 – 16.1.3
15.1.0 – 15.1.5
17.0.0
16.1.3.2
15.1.5.1
K10347453: BIG-IP SIP vulnerability CVE-2022-418327.5BIG-IP (wszystkie moduły)17.0.0
16.1.0 – 16.1.3
15.1.0 – 15.1.6
14.1.0 – 14.1.5
13.1.0 – 13.1.5
17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1
13.1.5.1
K69940053: BIG-IP iRules vulnerability CVE-2022-418337.5BIG-IP (wszystkie moduły)13.1.0 – 13.1.514.1.0
K47204506: BIG-IP Advanced WAF and ASM bd vulnerability CVE-2022-418367.5BIG-IP (Advanced WAF, ASM)17.0.0
16.1.0 – 16.1.3
15.1.0 – 15.1.6
17.0.0.1
16.1.3.1
15.1.7
K33484483: F5OS vulnerability CVE-2022-418357.3F5OS-A F5OS-C1.0.0 – 1.0.1 1.3.0 – 1.3.21.1.0 1.5.0
K11830089: BIG-IP Advanced WAF and ASM iControl REST vulnerability CVE-2022-416177.2 – Standard deployment mode
9.1 – Appliance mode
BIG-IP (Advanced WAF, ASM)16.1.0 – 16.1.3
15.1.0 – 15.1.6
14.1.0 – 14.1.5
13.1.0 – 13.1.5
17.0.0
16.1.3.1
15.1.6.1
14.1.5.1
13.1.5.1
K28112382: NGINX ngx_http_mp4_module vulnerability CVE-2022-417427.1NGINX Plus
NGINX Open Source Subscription
NGINX Open Source
NGINX Ingress Controller
R22 – R27 R1 – R2 1.23.0 – 1.23.1
1.1.3 – 1.22.0 2.0.0 – 2.4.0
1.9.0 – 1.12.4
R27 P1
R26 P1 R2 P1
R1 P1 1.23.2
1.22.1 None
K81926432: NGINX ngx_http_mp4_module vulnerability CVE-2022-417417.0NGINX Plus
NGINX Open Source Subscription NGINX Open Source
NGINX Ingress Controller
R22 – R27 R1 – R2 1.23.0 – 1.23.1
1.1.3 – 1.22.0 2.0.0 – 2.4.0
1.9.0 – 1.12.4
R27 P1
R26 P1 R2 P1
R1 P1 1.23.2
1.22.1 None
K01112063: NGINX ngx_http_hls_module vulnerability CVE-2022-417437.0NGINX Plus NGINX Ingress ControllerR22 – R27 2.0.0 – 2.4.0
1.9.0 – 1.12.4
R27 P1
R26 P1 None

CVE o krytyczności Średniej

LinkCVSSProduktWersja podatnaAktualizacja
K22505850: BIG-IP and BIG-IQ iControl REST vulnerability CVE-2022-417706.5BIG-IP (wszystkie moduły) BIG-IQ Centralized Management17.0.0
16.1.0 – 16.1.3
15.1.0 – 15.1.6
14.1.0 – 14.1.5
13.1.0 – 13.1.5 8.0.0 – 8.2.0
7.1.0
17.0.0.1
16.1.3.1
15.1.7
14.1.5.1 None
K93723284: BIG-IP PEM and AFM TMUI, TMSH, and iControl REST vulnerability CVE-2022-418136.5BIG-IP (AFM, PEM)16.1.0 – 16.1.3
15.1.0 – 15.1.6
14.1.0 – 14.1.4
13.1.0 – 13.1.5
17.0.0
16.1.3.1
15.1.6.1
14.1.5
K81701735: F5OS CLI vulnerability CVE-2022-417805.5F5OS-A F5OS-C1.0.0 – 1.0.1 1.1.0 – 1.3.21.1.0 1.4.0
K52494562: BIG-IP software SYN cookies vulnerability CVE-2022-367955.3BIG-IP (wszystkie moduły)17.0.0
16.1.0 – 16.1.3
15.1.0 – 15.1.6
14.1.0 – 14.1.5
17.0.0.1
16.1.3.1
15.1.7
14.1.5.1
K64829234: BIG-IP and BIG-IQ mcpd vulnerability CVE-2022-416944.9BIG-IP (wszystkie moduły) BIG-IQ Centralized Management16.1.0 – 16.1.2
15.1.0 – 15.1.6
14.1.0 – 14.1.4
13.1.0 – 13.1.5 8.0.0 – 8.2.0
7.1.0
17.0.0
16.1.3
15.1.6.1
14.1.5 8.2.0.1

CVE o krytyczności Niskiej

LinkCVSSProduktWersja podatnaAktualizacja
K31523465: BIG-IP TMM vulnerability CVE-2022-419833.7BIG-IP (wszystkie moduły)16.1.0 – 16.1.3
15.1.0 – 15.1.6
14.1.0 – 14.1.5
13.1.0 – 13.1.5
17.0.0
16.1.3.1
15.1.7
14.1.5.1
LinkProduktWersja podatnaAktualizacja
K49237345: BIG-IP Advanced WAF, ASM, and NGINX App Protect WAF XML encoding security exposureBIG-IP (Advanced WAF, ASM)
NGINX App Protect WAF
16.1.0 – 16.1.2
15.1.0 – 15.1.5
14.1.0 – 14.1.4
13.1.0 – 13.1.4 3.0.0 – 3.11.0
2.0.0 – 2.3.0
17.0.0
16.1.2.2
15.1.5.1
14.1.4.6
13.1.5 3.12.0