安全公告编号:CNTA-2022-0019
8月3日,F5公司发布了2022年第三季度的季度安全通告,修复了多款产品存在的21个安全漏洞,受影响的产品包括:BIG-IP(19个)、BIG-IQ(3个)、NGINX Instance Manager(1个)、NGINX Ingress Controller (1个)。
利用上述漏洞,攻击者可实现安全功能限制绕过、权限提升、敏感信息获取或拒绝服务攻击等。CNVD提醒F5用户尽快更新至最新版本,避免引发漏洞相关的网络安全事件。
CNVD编号 |
CVE编号 |
公告标题 |
最高严重等级和漏洞影响 |
受影响的软件 |
CNVD-2022-55188 |
CVE-2022-35243 |
F5 BIG-IP iControl REST不当权限管理漏洞 |
重要 不当权限管理 |
BIG-IP (all modules) |
CNVD-2022-55187 |
CVE-2022-35728 |
F5 BIG-IP iControl REST会话过期时间不足漏洞漏洞 |
重要 会话过期时间不足 |
BIG-IP (all modules) BIG-IQ Centralized Management |
CNVD-2022-55186 |
CVE-2022-34655 |
F5 BIG-IP TMM iRule拒绝服务漏洞 |
重要 拒绝服务 |
BIG-IP (all modules) |
CNVD-2022-55185 |
CVE-2022-35245 |
F5 BIG-IP APM空指针指针解引用漏洞 |
重要 空指针指针解引用 |
BIG-IP (APM) |
CNVD-2022-55184 |
CVE-2022-35240 |
F5 BIG-IP消息路由MQTT拒绝服务漏洞 |
重要 拒绝服务 |
BIG-IP (all modules) |
CNVD-2022-55183 |
CVE-2022-35236 |
F5 BIG-IP HTTP2配置文件拒绝服务漏洞 |
重要 拒绝服务 |
BIG-IP (all modules) |
CNVD-2022-55182 |
CVE-2022-34651 |
F5 BIG-IP TLS 1.3 iRule空指针解引用漏洞 |
重要 空指针指针解引用 |
BIG-IP (all modules) |
CNVD-2022-55181 |
CVE-2022-32455 |
F5 BIG-IP TMM ClientSSL配置文件拒绝服务漏洞 |
重要 拒绝服务 |
BIG-IP (all modules) |
CNVD-2022-55180 |
CVE-2022-34862 |
F5 BIG-IP TMM数据规范化无限循环漏洞 |
重要 拒绝服务 |
BIG-IP (all modules) |
CNVD-2022-55179 |
CVE-2022-33203 |
F5 BIG-IP APM和F5 SSL Orchestrator拒绝服务漏洞 |
重要 拒绝服务 |
BIG-IP (APM and SSLO) |
CNVD-2022-55178 |
CVE-2022-35272 |
F5 BIG-IP HTTP MRF拒绝服务漏洞 |
重要 拒绝服务 |
BIG-IP (all modules) |
CNVD-2022-55177 |
CVE-2022-35735 |
F5 BIG-IP健康检查配置权限提升漏洞 |
重要 权限提升 |
BIG-IP (all modules) |
CNVD-2022-55176 |
CVE-2022-31473 |
F5 BIG-IP APM设备模式路径遍历漏洞 |
重要 路径遍历 |
BIG-IP (APM) |
CNVD-2022-55175 |
CVE-2022-33962 |
F5 BIG-IP iRule权限提升漏洞 |
重要 权限提升 |
BIG-IP (all modules) |
CNVD-2022-55174 |
CVE-2022-35241 |
F5 NGINX Instance Manager拒绝服务漏洞 |
重要 拒绝服务 |
NGINX Instance Manager |
CNVD-2022-55173 |
CVE-2022-30535 |
F5 NGINX Ingress Controller输入验证错误漏洞 |
重要 输入验证错误 |
NGINX Ingress Controller |
CNVD-2022-55172 |
CVE-2022-34844 |
F5 BIG-IP和BIG-IQ AWS输入验证错误漏洞 |
重要 拒绝服务 |
BIG-IP (all modules)
BIG-IQ Centralized Management |
CNVD-2022-55171 |
CVE-2022-33947 |
F5 BIG-IP DNS TMUI拒绝服务漏洞 |
重要 拒绝服务 |
BIG-IP (DNS) |
CNVD-2022-55170 |
CVE-2022-34865 |
F5 BIG-IP Traffic Intelligence Feeds证书验证错误漏洞 |
重要 信息泄露 |
BIG-IP (all modules) |
CNVD-2022-55169 |
CVE-2022-34851 |
F5 BIG-IP和BIG-IQ iControl SOAP输入验证错误漏洞 |
重要 拒绝服务 |
BIG-IP (all modules)
BIG-IQ Centralized Management |
CNVD-2022-55168 |
CVE-2022-33968 |
F5 BIG-IP LTM和APM NTLM越界读取漏洞 |
越界读取 |
BIG-IP (all modules) |
参考信息:
https://support.f5.com/csp/article/K14649763
漏洞报告文档编写:
------------------------------------------------------------
国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。
在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
我们鼓励所有计算机与网络安全研究机构,包括厂商和科研院所,向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站和国家信息安全漏洞共享平台(CNVD)公布漏洞信息及指导受影响用户采取措施以避免损失。
如果您发现本公告存在任何问题,请与我们联系:vreport@cert.org.cn。
