无标题文档
当前位置:

首页网络安全

F5发布2022年10月季度安全通告

2023-03-23文章来源:网络与教育技术中心

安全公告编号:CNTA-2022-0026

10月19日,F5发布了2022年第四季度的季度安全通告,修复了多款产品存在的18个安全漏洞。受影响的产品包括:BIG-IP(14个)、BIG-IQ(2个)、F5OS(2个)、NGINX PLUS(3个)、NGINX Open Source(2个)、NGINX Ingress Controller(3个)等。

利用上述漏洞,攻击者可进行拒绝服务攻击,绕过安全功能限制,提升权限,或数据泄漏等攻击。CNVD提醒广大F5用户尽快更新至最新版本系统,避免引发漏洞相关的网络安全事件。

CVE 编号

公告标题

最高风险等级和风险类型

受影响产品

修复版本

CVE-2022-41691

BIG-IP Advanced WAF/ASM bd漏洞

7.5

拒绝服务

BIG-IP (Advanced WAF/ASM)

14.1.5.2

CVE-2022-41617

BIG-IP AWAF/ASM iControl REST 漏洞

7.2 (标准模式)

9.1 (设备模式)

命令注入

BIG-IP (Advanced WAF/ASM)

16.1.3.1
15.1.6.1
14.1.5.1
13.1.5.1

CVE-2022-41787

BIG-IP DNS Express 漏洞

7.5

拒绝服务

BIG-IP (DNS, 或开启DNS services许可的LTM)

17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1
13.1.5.1

CVE-2022-41832

BIG-IP SIP漏洞

7.5

拒绝服务

BIG-IP (所有模块)

17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1
13.1.5.1

CVE-2022-41624

BIG-IP iRules漏洞

7.5

拒绝服务

BIG-IP (所有模块)

17.0.0.1
16.1.3.2
15.1.7
14.1.5.2
13.1.5.1

CVE-2022-41806

BIG-IP AFM NAT64 策略漏洞

7.5

拒绝服务

BIG-IP (AFM)

16.1.3.2
15.1.5.1

CVE-2022-41833

BIG-IP iRule漏洞

7.5

拒绝服务

BIG-IP (所有模块)

15.0.0
14.1.0

CVE-2022-41836

BIG-IP Advanced WAF and ASM BD 进程漏洞

7.5

拒绝服务

BIG-IP (Advanced WAF, ASM)

17.0.0.1
16.1.3.1
15.1.7

CVE-2022-41835

F5OS 文件管理漏洞

7.3

权限管理不当

F5OS

F5OS-A:
1.1.0

F5OS-C:
1.5.0

CVE-2022-41741

NGINX ngx_http_mp4_module漏洞

7.0

越界写入

NGINX Plus

NGINX Open Source Subscription

NGINX Open Source

NGINX Ingress Controller

NGINX Plus: R27 P1
R26 P1

NGINX Open Source Subscription: R2 P1
R1 P1

NGINX Open Source:
1.23.2
1.22.1

NGINX Ingress Controller:
2.4.1

CVE-2022-41742

NGINX ngx_http_mp4_module漏洞

7.1

越界读取

NGINX Plus

NGINX Open Source Subscription

NGINX Open Source

NGINX Ingress Controller

NGINX Plus: R27 P1
R26 P1

NGINX Open Source Subscription: R2 P1
R1 P1

NGINX Open Source:
1.23.2
1.22.1

NGINX Ingress Controller:
2.4.1

CVE-2022-41743

NGINX ngx_http_hls_module漏洞

7.0

越界写入

NGINX Plus

NGINX Ingress Controller

NGINX Plus:
R27 P1
R26 P1

NGINX Ingress Controller:
2.4.1

CVE-2022-41770

BIG-IP and BIG-IQ iControl REST漏洞

6.5

拒绝服务

BIG-IP (所有模块)

BIG-IQ Centralized Management

BIG-IP
17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1

BIG-IQ CM
None

CVE-2022-41694

BIG-IP and BIG-IQ MCPD 漏洞

4.9

拒绝服务

BIG-IP (所有模块)

BIG-IQ Centralized Management

BIG-IP
17.0.0
16.1.3
15.1.6.1
14.1.5

BIG-IQ CM
8.2.0.1

CVE-2022-41813

BIG-IP PEM and AFM TMUI, TMSH and iControl 漏洞

6.5

拒绝服务

BIG-IP (AFM/PEM)

16.1.3.1
15.1.6.1
14.1.5

CVE-2022-36795

BIG-IP software SYN cookies 漏洞

5.3

拒绝服务

BIG-IP (所有模块)

17.0.0.1
16.1.3.1
15.1.7
14.1.5.1

CVE-2022-41780

F5OS CLI 权限管理漏洞

5.5

路径遍历

F5OS

F5OS-A:
1.1.0

F5OS-C:
1.4.0

CVE-2022-41983

BIG-IP TMM 漏洞

3.7

敏感信息
明文传输

BIG-IP (所有模块)

16.1.3.1
15.1.7
14.1.5.1

参考信息: https://support.f5.com/csp/article/K30425568

------------------------------------------------------------

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。

在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结 果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。

我们鼓励所有计算机与网络安全研究机构,包括厂商和科研院所,向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站和国家信息安全漏洞共享平台(CNVD)公布漏洞信息及指导受影响用户采取措施以避免损失。

如果您发现本公告存在任何问题,请与我们联系:vreport@cert.org.cn。

上一篇:Microsoft发布2022年11月安全更新

下一篇:Oracle发布2022年10月的安全公告

无标题文档

CopyRight©海南热带海洋学院网络与教育技术中心 All Rights Reserved

电话:
0898-88651886(网络报修)
0898-88557675(系统账号问题)
邮箱:
nic@hntou.edu.cn
地址:
海南省三亚市育才路1号海南热带海洋学院教学楼6栋2层