0x00 漏洞概述
2022年8月3日,F5發佈安全公告,修復了其多個產品中的多個安全漏洞,這些漏洞可能導致資訊洩露、安全繞過、許可權提升和拒絕服務等。
0x01 漏洞詳情
F5本次共修復了22個漏洞,其中有12個漏洞評級為高危,8個漏洞評級為中危,1個漏洞評級為低危,詳情如下:
CVE-ID | 名稱 | 評分 | 受影響產品 | 影響範圍 | 修復版本 |
CVE-2022-35243 | F5 BIG-IP iControl REST 安全繞過漏洞(僅設備模式下,且需身份驗證) | 8.7 | BIG-IP(所有模組) | 16.1.0 – 16.1.2 15.1.0 – 15.1.5 14.1.0 – 14.1.4 13.1.0 – 13.1.5 | 17.0.0 16.1.3 15.1.5.1 14.1.5 |
CVE-2022-35728 | F5 BIG-IP 和BIG-IQ iControl REST會話過期漏洞 | 8.1 | BIG-IP(所有模組) | 17.0.0 16.1.0 – 16.1.3 15.1.0 – 15.1.6 14.1.0 – 14.1.5 13.1.0 – 13.1.5 | 17.0.0.1 16.1.3.1 15.1.6.1 14.1.5.1 |
BIG-IQ 集中管理 | 8.0.0 – 8.1.0 7.0.0 – 7.1.0 | 8.2.0 | |||
CVE-2022-34655 | F5 BIG-IP TMM 拒絕服務漏洞 | 7.5 | BIG-IP(所有模組) | 16.0.0 – 16.0.1 15.1.0 – 15.1.6 14.1.0 – 14.1.4 | 17.0.0 16.1.0 16.0.1.1 15.1.6.1 14.1.5 |
CVE-2022-35245 | F5 BIG-IP APM 訪問策略漏洞 | 7.5 | BIG-IP (APM) | 16.1.0 – 16.1.3 15.1.0 – 15.1.6 14.1.0 – 14.1.5 | 17.0.0 16.1.3.1 15.1.6.1 14.1.5.1 |
CVE-2022-35240 | F5 BIG-IP訊息路由MQTT拒絕服務漏洞 | 7.5 | BIG-IP(所有模組) | 16.1.0 – 16.1.2 15.1.0 – 15.1.6 14.1.0 – 14.1.4 | 17.0.0 16.1.2.2 15.1.6.1 14.1.5 |
CVE-2022-35236 | F5 BIG-IP HTTP2配置檔案拒絕服務漏洞 | 7.5 | BIG-IP(所有模組) | 16.1.0 – 16.1.2 15.1.0 – 15.1.6 14.1.0 – 14.1.4 | 17.0.0 16.1.2.2 15.1.6.1 14.1.5 |
CVE-2022-34651 | F5 BIG-IP TLS 1.3 iRule 拒絕服務漏洞 | 7.5 | BIG-IP(所有模組) | 16.1.0 – 16.1.3 15.1.0 – 15.1.6 | 17.0.0 16.1.3.1 15.1.6.1 |
CVE-2022-32455 | F5 BIG-IP TMM拒絕服務漏洞 | 7.5 | BIG-IP(所有模組) | 16.1.0 – 16.1.2 15.1.0 – 15.1.6 14.1.0 – 14.1.4 13.1.0 – 13.1.5 | 17.0.0 16.1.2.2 15.1.6.1 14.1.5 |
CVE-2022-34862 | F5 BIG-IP TMM拒絕服務漏洞 | 7.5 | BIG-IP(所有模組) | 16.1.0 – 16.1.3 15.1.0 – 15.1.6 14.1.0 – 14.1.4 13.1.0 – 13.1.5 | 17.0.0 16.1.3.1 15.1.6.1 14.1.5 |
CVE-2022-33203 | F5 BIG-IP APM 和SSL Orchestrator拒絕服務漏洞 | 7.5 | BIG-IP (APM 和SSL Orchestrator) | 16.1.0 – 16.1.2 15.1.0 – 15.1.6 14.1.0 – 14.1.4 | 17.0.0 16.1.3 15.1.6.1 14.1.5 |
CVE-2022-35272 | F5 BIG-IP HTTP MRF拒絕服務漏洞 | 7.5 | BIG-IP(所有模組) | 17.0.0 16.1.0 – 16.1.3 | 17.0.0.1 16.1.3.1 |
CVE-2022-35735 | F5 BIG-IP監視器配置許可權提升漏洞 | 7.2 | BIG-IP(所有模組) | 16.1.0 – 16.1.3 15.1.0 – 15.1.6 14.1.0 – 14.1.5 13.1.0 – 13.1.5 | 17.0.0 16.1.3.1 15.1.6.1 14.1.5.1 |
CVE-2022-31473 | F5 BIG-IP APM 設備模式安全繞過漏洞(iApps 中存在目錄遍歷漏洞) | 6.8 | BIG-IP (APM) | 16.1.0 15.1.0 – 15.1.3 | 17.0.0 16.1.1 15.1.4 |
CVE-2022-33962 | F5 BIG-IP iRules訪問控制限制繞過漏洞 | 6.7 | BIG-IP(所有模組) | 17.0.0 16.1.0 – 16.1.3 15.1.0 – 15.1.6 14.1.0 – 14.1.5 13.1.0 – 13.1.5 | 17.0.0.1 16.1.3.1 15.1.6.1 14.1.5.1 |
CVE-2022-35241 | NGINX 實例管理器拒絕服務漏洞 | 6.5 | NGINX Instance Manager | 2.0.0 – 2.3.0 1.0.0 – 1.0.4 | 2.3.1 |
CVE-2022-30535 | NGINX 入口控制器資訊洩露漏洞 | 6.5 | NGINX Ingress Controller | 2.0.0 – 2.2.0 1.0.0 – 1.12.4 | 2.3.0 |
CVE-2022-34844 | F5 BIG-IP 和 BIG-IQ AWS拒絕服務漏洞 | 5.9 | BIG-IP(所有模組) | 16.1.0 – 16.1.3 15.1.0 – 15.1.6 | 17.0.0 16.1.3.1 15.1.6.1 |
BIG-IQ 集中管理 | 8.0.0 – 8.2.0 | Null | |||
CVE-2022-33947 | BIG-IP DNS TMUI拒絕服務漏洞 | 5.4 | BIG-IP (DNS) | 16.0.0 – 16.1.2 15.1.0 – 15.1.6 14.1.0 – 14.1.4 13.1.0 – 13.1.5 | 17.0.0 16.1.3 15.1.6.1 14.1.5 |
CVE-2022-34865 | F5 BIG-IP Traffic Intelligence Feeds證書驗證錯誤漏洞 | 4.8 | BIG-IP(所有模組) | 15.1.0 – 15.1.6 14.1.0 – 14.1.4 13.1.0 – 13.1.5 | 16.1.0 15.1.6.1 14.1.5 |
CVE-2022-34851 | F5 BIG-IP 和 BIG-IQ iControl SOAP拒絕服務漏洞 | 4.3 | BIG-IP(所有模組) | 17.0.0 16.1.0 – 16.1.3 15.1.0 – 15.1.6 14.1.0 – 14.1.5 13.1.0 – 13.1.5 | 17.0.0.1 16.1.3.1 15.1.6.1 14.1.5.1 |
BIG-IQ 集中管理 | 8.0.0 – 8.2.0 | Null | |||
CVE-2022-33968 | F5 BIG-IP LTM 和 APM NTLM越界讀取漏洞 | 3.7 | BIG-IP(所有模組) | 17.0.0 16.1.0 – 16.1.3 15.1.0 – 15.1.6 14.1.0 – 14.1.5 13.1.0 – 13.1.5 | 17.0.0.1 16.1.3.1 15.1.6.1 14.1.5.1 |
無 | F5 BIG-IP攻擊簽名檢查安全漏洞 | Null | BIG-IP (ASM/AWAF) | 16.1.0 – 16.1.2 15.1.0 – 15.1.6 14.1.0 – 14.1.4 13.1.0 – 13.1.5 | 17.0.0 16.1.2.2 15.1.6.1 14.1.5 |
0x02 處置建議
目前這些漏洞已經修復,受影響使用者可參考上表升級到相應修復版本。
下載連結:
https://support.f5.com/csp/home
0x03 參考連結
https://support.f5.com/csp/article/K14649763
https://support.f5.com/csp/article/K11010341
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/04/f5-releases-security-updates
0x04 更新版本
版本 | 日期 | 修改內容 |
V1.0 | 2022-08-05 | 首次發佈 |
