「BIG-IP」などF5の複数製品に脆弱性 - 重要度「クリティカル」も
F5が提供する「BIG-IP」など複数製品に脆弱性が明らかとなった。重要度が「クリティカル(Critical)」とされる脆弱性も含まれる。
影響を受ける製品やモジュール、重要度などは異なるが、「BIG-IP」をはじめ、「BIG-IQ」「F5OS-A」「Traffix SDC」「F5 Access for Android」「NGINX Service Mesh」などに脆弱性が判明した。あわせて43件にのぼる。
重要度がもっとも高い「クリティカル(Critical)」とされる脆弱性は「CVE-2022-1388」の1件。「BIG-IP 16.x」および以前のバージョンが影響を受ける。
管理用ポートや機器自身のIPアドレス経由でアクセスすることにより、「iControl REST認証」のバイパスが可能だという。
悪用されるとシステムコマンドを実行されたり、ファイルの作成、削除、サービスの無効化などを行われるおそれがある。共通脆弱性評価システム「CVSSv3」のベーススコアは「9.8」と評価されている。
(Security NEXT - 2022/05/06 )
ツイート
PR
関連記事
「GarageBand」にセキュリティアップデート - 脆弱性1件を修正
「JSONata」にプロトライプ汚染の脆弱性 - アップデートにて修正
「WordPress」向けのマルウェア対策やWAFプラグインに脆弱性 - 公開中止に
Cisco、「IOS XR」に関するセキュリティアドバイザリ7件を公開
「Apache Tomcat」に脆弱性、2月の更新で修正済み - 「同8.5」系統は3月末にEOL
Palo Altoの「PAN-OS」や「GlobalProtect App」に脆弱性
バックアップ製品「Arcserve UDP」に脆弱性 - 影響大きくPoCも公開
ファイル転送製品「FileCatalyst」に深刻な脆弱性 - 2023年8月の更新で修正
SonicWallの「SonicOS」やメールセキュリティ製品に脆弱性
ビデオ会議サービス「Zoom Rooms」に複数の脆弱性