10月19日,F5发布了2022年第四季度的季度安全通告,修复了多款产品存在的18个安全漏洞。受影响的产品包括:BIG-IP(14个)、BIG-IQ(2个)、F5OS(2个)、NGINX PLUS(3个)、NGINX Open Source(2个)、NGINX Ingress Controller(3个)等。
利用上述漏洞,攻击者可进行拒绝服务攻击,绕过安全功能限制,提升权限,或数据泄漏等攻击。提醒广大F5师生用户尽快更新至最新版本系统,避免引发漏洞相关的网络安全事件。
CVE编号 | 公告标题 | 最高风险等级和风险类型 | 受影响产品 | 修复版本 |
CVE-2022-41691 | BIG-IP Advanced WAF/ASM bd漏洞 | 高 7.5 拒绝服务 | BIG-IP (Advanced WAF/ASM) | 14.1.5.2 |
CVE-2022-41617 | BIG-IP AWAF/ASM iControl REST 漏洞 | 高 7.2 (标准模式) 9.1 (设备模式) 命令注入 | BIG-IP (Advanced WAF/ASM) | 16.1.3.1 |
CVE-2022-41787 | BIG-IP DNS Express 漏洞 | 高 7.5 拒绝服务 | BIG-IP (DNS, 或开启DNS services许可的LTM) | 17.0.0.1 |
CVE-2022-41832 | BIG-IP SIP漏洞 | 高 7.5 拒绝服务 | BIG-IP (所有模块) | 17.0.0.1 |
CVE-2022-41624 | BIG-IP iRules漏洞 | 高 7.5 拒绝服务 | BIG-IP (所有模块) | 17.0.0.1 |
CVE-2022-41806 | BIG-IP AFM NAT64 策略漏洞 | 高 7.5 拒绝服务 | BIG-IP (AFM) | 16.1.3.2 |
CVE-2022-41833 | BIG-IP iRule漏洞 | 高 7.5 拒绝服务 | BIG-IP (所有模块) | 15.0.0 |
CVE-2022-41836 | BIG-IP Advanced WAF and ASM BD 进程漏洞 | 高 7.5 拒绝服务 | BIG-IP (Advanced WAF, ASM) | 17.0.0.1 |
CVE-2022-41835 | F5OS 文件管理漏洞 | 高 7.3 权限管理不当 | F5OS | F5OS-A: |
CVE-2022-41741 | NGINX ngx_http_mp4_module漏洞 | 高 7.0 越界写入 | NGINX Plus | NGINX Plus: R27 P1 |
CVE-2022-41742 | NGINX ngx_http_mp4_module漏洞 | 高 7.1 越界读取 | NGINX Plus | NGINX Plus: R27 P1 |
CVE-2022-41743 | NGINX ngx_http_hls_module漏洞 | 高 7.0 越界写入 | NGINX Plus | NGINX Plus: |
CVE-2022-41770 | BIG-IP and BIG-IQ iControl REST漏洞 | 中 6.5 拒绝服务 | BIG-IP (所有模块) | BIG-IP |
CVE-2022-41694 | BIG-IP and BIG-IQ MCPD 漏洞 | 中 4.9 拒绝服务 | BIG-IP (所有模块) | BIG-IP |
CVE-2022-41813 | BIG-IP PEM and AFM TMUI, TMSH and iControl 漏洞 | 中 6.5 拒绝服务 | BIG-IP (AFM/PEM) | 16.1.3.1 |
CVE-2022-36795 | BIG-IP software SYN cookies 漏洞 | 中 5.3 拒绝服务 | BIG-IP (所有模块) | 17.0.0.1 |
CVE-2022-41780 | F5OS CLI 权限管理漏洞 | 中 5.5 路径遍历 | F5OS | F5OS-A: |
CVE-2022-41983 | BIG-IP TMM 漏洞 | 低 3.7 敏感信息 | BIG-IP (所有模块) | 16.1.3.1 |
参考信息:https://support.f5.com/csp/article/K30425568
信息来源:https://www.cnvd.org.cn/webinfo/show/8226
