安全公告編號(hào):CNTA-2023-0017
10月10日,F(xiàn)5發(fā)布了2023年10月季度安全通告,修復(fù)了多款產(chǎn)品存在的16個(gè)安全漏洞。受影響的產(chǎn)品包括:BIG-IP(16個(gè))、BIG-IP Next SPK(3個(gè))、BIG-IQ Centralized Management(2個(gè))、NGINX Open Source(1個(gè))、NGINX Ingress Controller(1個(gè))等。
利用上述漏洞,攻擊者可繞過(guò)安全功能限制,獲取敏感信息,提升權(quán)限,執(zhí)行遠(yuǎn)程代碼,或發(fā)起拒絕服務(wù)攻擊等。CNVD提醒廣大F5用戶盡快更新至最新版本系統(tǒng),避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
CNVD編號(hào) |
CVE編號(hào) |
公告標(biāo)題 |
最高嚴(yán)重等級(jí)和漏洞影響 |
受影響的軟件 |
CNVD-2023-75610 |
CVE-2023-41373 |
F5 BIG-IP配置實(shí)用程序目錄遍歷漏洞 |
嚴(yán)重 路徑遍歷 |
BIG-IP (all modules) |
CNVD-2023-75609 |
CVE-2023-42768 |
F5 BIG-IP iControl安全繞過(guò)漏洞 |
重要 安全繞過(guò) |
BIG-IP (all modules) |
CNVD-2023-75608 |
CVE-2023-5450 |
F5 BIG-IP Edge數(shù)據(jù)驗(yàn)證錯(cuò)誤漏洞 |
一般 數(shù)據(jù)驗(yàn)證錯(cuò)誤 |
BIG-IP Edge客戶端 |
CNVD-2023-75596 |
CVE-2023-41253 |
F5 BIG-IP信息泄露漏洞 |
一般 信息泄露 |
BIG-IP (DNS, LTM enabled with DNS Services license3) |
CNVD-2023-75595 |
CVE-2023-43485 |
F5 BIG-IP信息泄露漏洞 |
一般 信息泄露 |
BIG-IP (all modules) BIG-IQ Centralized Management |
CNVD-2023-75600 |
CVE-2023-41964 |
F5 BIG-IP敏感信息明文存儲(chǔ)漏洞 |
一般 信息泄露 |
BIG-IP (all modules) BIG-IQ Centralized Management |
CNVD-2023-75599 |
CVE-2023-39447 |
F5 BIG-IP APM信息泄露漏洞 |
一般 信息泄露 |
BIG-IP (Guided Configuration) BIG-IP (APM) |
CNVD-2023-75598 |
CVE-2023-45219 |
F5 BIG-IP信息泄露漏洞 |
一般 信息泄露 |
BIG-IP (all modules) |
CNVD-2023-75597 |
CVE-2023-44487 |
F5 BIG-IP拒絕服務(wù)漏洞 |
一般 拒絕服務(wù) |
BIG-IP (all modules) BIG-IP Next (all modules) BIG-IP Next SPK BIG-IP Next CNF NGINX Open Source NGINX Ingress Controller |
CNVD-2023-75604 |
CVE-2023-40542 |
F5 BIG-IP拒絕服務(wù)漏洞 |
重要 拒絕服務(wù) |
BIG-IP (all modules) |
CNVD-2023-75603 |
CVE-2023-43611 |
F5 BIG-IP Edge客戶端加密簽名驗(yàn)證錯(cuò)誤漏洞 |
一般 加密簽名驗(yàn)證錯(cuò)誤 |
BIG-IP Edge客戶端 |
CNVD-2023-75602 |
CVE-2023-40537 |
F5 BIG-IP會(huì)話過(guò)期不足漏洞 |
重要 會(huì)話過(guò)期不足 |
BIG-IP (all modules) |
CNVD-2023-75601 |
CVE-2023-43746 |
F5 BIG-IP訪問(wèn)控制錯(cuò)誤漏洞 |
重要 訪問(wèn)控制錯(cuò)誤 |
BIG-IP (all modules) |
CNVD-2023-75607 |
CVE-2023-45226 |
F5 BIG-IP Next SPK硬編碼憑證漏洞 |
重要 硬編碼憑證 |
BIG-IP Next SPK |
CNVD-2023-75606 |
CVE-2023-41085 |
F5 BIG-IP拒絕服務(wù)漏洞 |
重要 拒絕服務(wù) |
BIG-IP (all modules) |
CNVD-2023-75605 |
CVE-2023-40534 |
F5 BIG-IP HTTP/2服務(wù)拒絕漏洞 |
重要 拒絕服務(wù) |
BIG-IP (all modules) BIG-IP Next SPK |
參考信息:
https://my.f5.com/manage/s/article/K000137053
------------------------------------------------------------
國(guó)家信息安全漏洞共享平臺(tái)(China National Vulnerability Database,簡(jiǎn)稱CNVD)是由CNCERT聯(lián)合國(guó)內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的國(guó)家網(wǎng)絡(luò)安全漏洞庫(kù),致力于建立國(guó)家統(tǒng)一的信息安全漏洞收集、發(fā)布、驗(yàn)證、分析等應(yīng)急處理體系。
在發(fā)布漏洞公告信息之前,CNVD都力爭(zhēng)保證每條公告的準(zhǔn)確性和可靠性。然而,采納和實(shí)施公告中的建議則完全由用戶自己決定,其可能引起的問(wèn)題和結(jié)果也完全由用戶承擔(dān)。是否采納我們的建議取決于您個(gè)人或您企業(yè)的決策,您應(yīng)考慮其內(nèi)容是否符合您個(gè)人或您企業(yè)的安全策略和流程。
