【漏洞通告】F5 8月多个安全漏洞
发布时间 2021-08-260x00 漏洞概述
2021年8月24日,F5发布安全更新,修复了其BIG-IP等产品中的29个安全漏洞。这些漏洞包括经过身份验证的远程命令执行、XSS、CSRF、SSRF和拒绝服务等。
0x01 漏洞详情
本次修复的高危漏洞为13个,除CVE-2021-23031之外,其它漏洞的CVSS评分范围为7.2-7.5,5个漏洞影响了 WAF 和 ASM,1个漏洞影响了 DNS 模块。
其中包括一个在特定条件下被利用时评级为严重的漏洞,该漏洞的CVE编号为CVE-2021-23031,是 BIG-IP Web 应用防火墙 (WAF) 和应用安全管理器 (ASM) 流量管理用户界面 (TMUI) 上的权限提升漏洞。该漏洞的CVSS评分为8.8,经过身份验证且具有配置实用程序访问权限的攻击者可以利用此漏洞来提升权限,最终可以执行任意系统命令、创建或删除任意文件、禁用服务等。但如果应用了设备模式,该漏洞的CVSS评分将提升为9.9。
F5本次发布的安全更新中的13个高危漏洞及其影响范围、修复版本如下:
CVE ID | 严重性 | CVSS评分 | 受影响产品 | 受影响版本 | 修复版本 |
CVE-2021-23025 | 高 | 7.2 | BIG-IP(所有模块) | 15.0.0 - 15.1.0 | 16.0.0 |
CVE-2021-23026 | 高 | 7.5 | BIG-IP(所有模块) | 16.0.0 - 16.0.1 12.1.0 - 12.1.6 | 16.1.0 |
BIG-IQ | 8.0.0 - 8.1.0 | 无 | |||
CVE-2021-23027 | 高 | 7.5 | BIG-IP(所有模块) | 16.0.0 - 16.0.1 | 16.1.0 |
CVE-2021-23028 | 高 | 7.5 | BIG-IP(WAF、ASM) | 16.0.1 | 16.1.0 |
CVE-2021-23029 | 高 | 7.5 | BIG-IP(WAF、ASM) | 16.0.0 - 16.0.1 | 16.1.0 |
CVE-2021-23030 | 高 | 7.5 | BIG-IP(WAF、ASM) | 16.0.0 - 16.0.1 12.1.0 - 12.1.6 | 16.1.0 |
CVE-2021-23031 | 高/严重 ( 仅设备模式) | 8.8/ 9.9 | BIG-IP(WAF、ASM) | 16.0.0 - 16.0.1 | 16.1.0 |
CVE-2021-23032 | 高 | 7.5 | BIG-IP (DNS) | 16.0.0 - 16.0.1 15.1.0 - 15.1.3 14.1.0 - 14.1.4 13.1.0 - 13.1.4 12.1.0 - 12.1.6 | 16.1.0 |
CVE-2021-23033 | 高 | 7.5 | BIG-IP(WAF、ASM) | 16.0.0 - 16.0.1 15.1.0 - 15.1.3 14.1.0 - 14.1.4 13.1.0 - 13.1.4 12.1.0 - 12.1.6 | 16.1.0 |
CVE-2021-23034 | 高 | 7.5 | BIG-IP | 16.0.0 - 16.0.1 | 16.1.0 |
CVE-2021-23035 | 高 | 7.5 | BIG-IP | 14.1.0 - 14.1.4 | 14.1.4.4 |
CVE-2021-23036 | 高 | 7.5 | BIG-IP(WAF、ASM、DataSafe) | 16.0.0 - 16.0.1 | 16.1.0 |
CVE-2021-23037 | 高 | 7.5 | BIG-IP | 16.0.0 - 16.1.0 15.1.0 - 15.1.3 14.1.0 - 14.1.4 13.1.0 - 13.1.4 12.1.0 - 12.1.6 11.6.1 - 11.6.5 | 无 |
此外,F5还修复了其BIG-IP等产品中的其它16个中危和低危漏洞,这些漏洞的CVSS评分范围为3.7-6.8,攻击者可以利用这些漏洞执行XSS攻击、SQL注入、访问任意文件等。
0x02 处置建议
目前这些漏洞已在部分版本中修复,F5 建议客户将 BIG-IP 设备至少更新或升级到 BIG-IP 14.1.0,将 BIG-IP VE 至少更新或升级到 BIG-IP 15.1.0,建议参考官方公告及时升级更新。
下载链接:
https://support.f5.com/csp/article/K50974556
0x03 参考链接
https://support.f5.com/csp/article/K50974556
https://www.bleepingcomputer.com/news/security/critical-f5-big-ip-bug-impacts-customers-in-sensitive-sectors/
https://securityaffairs.co/wordpress/121454/security/f5-big-ip-critical-flaw.html?
0x04 更新版本
版本 | 日期 | 修改内容 |
V1.0 | 2021-08-26 | 首次发布 |
0x05 文档附录
CNVD:www.cnvd.org.cn
CNNVD:www.cnnvd.org.cn
CVE:cve.mitre.org
NVD:nvd.nist.gov
CVSS:www.first.org
0x06 关于我们
关注以下公众号,获取更多资讯: