CNNVD:關于F5 BIG-IP 訪問控制錯誤漏洞的通報
掃碼訂閱《中國信息安全》雜志
權威刊物 重要平臺 關鍵渠道
郵發代號 2-786
近日,國家信息安全漏洞庫(CNNVD)收到關于F5 BIG-IP 訪問控制錯誤漏洞(CNNVD-202205-2141、 CVE-2022-1388)情況的報送。攻擊者可在未授權的情況下遠程執行命令、創建或刪除文件、開啟或關閉服務等。F5 BIG-IP 16.1.0-16.1.2版本、15.1.0-15.1.5版本、14.1.0-14.1.4版本、13.1.0-13.1.4版本、12.1.0 - 12.1.6版本、11.6.1-11.6.5版本等多個版本均受此漏洞影響。目前,F5官方已經發布了新版本修復了漏洞,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
一、漏洞介紹
F5BIG-IP是美國F5公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。F5 BIG-IP中存在訪問控制錯誤漏洞,該漏洞是由于iControl REST的身份驗證功能存在缺陷,攻擊者可利用該漏洞繞過身份驗證,對目標系統遠程執行命令、創建或刪除文件、開啟或關閉服務等。
二、危害影響
F5 BIG-IP 16.1.0-16.1.2版本、15.1.0-15.1.5版本、14.1.0-14.1.4版本、13.1.0-13.1.4版本、12.1.0 - 12.1.6版本、11.6.1-11.6.5版本等多個版本均受此漏洞影響。
三、修復建議
目前,F5官方已經發布了新版本修復了漏洞,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。官方鏈接如下: https://downloads.f5.com
本通報由CNNVD技術支撐單位——深信服科技股份有限公司、華為技術有限公司、杭州安恒信息技術股份有限公司、北京天融信網絡安全技術有限公司、北京奇虎科技有限公司、長春嘉誠信息技術股份有限公司、北京華順信安科技有限公司、北京華云安信息技術有限公司、博智安全科技股份有限公司、中瑞創信息技術(北京)有限公司、上海安識網絡科技有限公司、安徽華云安科技有限公司、內蒙古洞明科技有限公司、北京數字觀星科技有限公司、北京永信至誠科技股份有限公司、新華三技術有限公司、杭州迪普科技股份有限公司、長亭科技股份有限公司、北京神州綠盟科技有限公司、北京知道創宇信息技術股份有限公司、奇安信網神信息技術(北京)股份有限公司、恒安嘉新(北京)科技股份公司提供支持。
CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD聯系。聯系方式: cnnvdvul@itsec.gov.cn
