F5发布2023年10月季度安全通告

时间:2023年10月11日 15:24  来源: CNVD   点击数:

 

 

 安全公告编号:CNTA-2023-0017

10月10日,F5发布了2023年10月季度安全通告,修复了多款产品存在的16个安全漏洞。受影响的产品包括:BIG-IP(16个)、BIG-IP Next SPK(3个)、BIG-IQ Centralized Management(2个)、NGINX Open Source(1个)、NGINX Ingress Controller(1个)等。

利用上述漏洞,攻击者可绕过安全功能限制,获取敏感信息,提升权限,执行远程代码,或发起拒绝服务攻击等。CNVD提醒广大F5用户尽快更新至最新版本系统,避免引发漏洞相关的网络安全事件。

CNVD编号

CVE编号

公告标题

最高严重等级和漏洞影响

受影响的软件

CNVD-2023-75610

CVE-2023-41373

F5 BIG-IP配置实用程序目录遍历漏洞

严重

路径遍历

BIG-IP (all modules)

CNVD-2023-75609

CVE-2023-42768

F5 BIG-IP iControl安全绕过漏洞

重要

安全绕过

BIG-IP (all modules)

CNVD-2023-75608

CVE-2023-5450

F5 BIG-IP Edge数据验证错误漏洞

一般

数据验证错误

BIG-IP Edge客户端

CNVD-2023-75596

CVE-2023-41253

F5 BIG-IP信息泄露漏洞

一般

信息泄露

BIG-IP (DNS, LTM enabled with DNS Services license3)

CNVD-2023-75595

CVE-2023-43485

F5 BIG-IP信息泄露漏洞

一般

信息泄露

BIG-IP (all modules)

BIG-IQ Centralized Management

CNVD-2023-75600

CVE-2023-41964

F5 BIG-IP敏感信息明文存储漏洞

一般

信息泄露

BIG-IP (all modules)

BIG-IQ Centralized Management

CNVD-2023-75599

CVE-2023-39447

F5 BIG-IP APM信息泄露漏洞

一般

信息泄露

BIG-IP (Guided Configuration)

BIG-IP (APM)

CNVD-2023-75598

CVE-2023-45219

F5 BIG-IP信息泄露漏洞

一般

信息泄露

BIG-IP (all modules)

CNVD-2023-75597

CVE-2023-44487

F5 BIG-IP拒绝服务漏洞

一般

拒绝服务

BIG-IP (all modules)

BIG-IP Next (all modules)

BIG-IP Next SPK

BIG-IP Next CNF

NGINX Open Source

NGINX Ingress Controller

CNVD-2023-75604

CVE-2023-40542

F5 BIG-IP拒绝服务漏洞

重要

拒绝服务

BIG-IP (all modules)

CNVD-2023-75603

CVE-2023-43611

F5 BIG-IP Edge客户端加密签名验证错误漏洞

一般

加密签名验证错误

BIG-IP Edge客户端

CNVD-2023-75602

CVE-2023-40537

F5 BIG-IP会话过期不足漏洞

重要

会话过期不足

BIG-IP (all modules)

CNVD-2023-75601

CVE-2023-43746

F5 BIG-IP访问控制错误漏洞

重要

访问控制错误

BIG-IP (all modules)

CNVD-2023-75607

CVE-2023-45226

F5 BIG-IP Next SPK硬编码凭证漏洞

重要

硬编码凭证

BIG-IP Next SPK

CNVD-2023-75606

CVE-2023-41085

F5 BIG-IP拒绝服务漏洞

重要

拒绝服务

BIG-IP (all modules)

CNVD-2023-75605

CVE-2023-40534

F5 BIG-IP HTTP/2服务拒绝漏洞

重要

拒绝服务

BIG-IP (all modules)

BIG-IP Next SPK

参考信息:

https://my.f5.com/manage/s/article/K000137053

------------------------------------------------------------

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。