Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

F5の「BIG-IP」に複数の脆弱性 - ホットフィクスで修正

F5の「BIG-IP」や「BIG-IQ」に脆弱性が明らかとなった。同社ではホットフィクスにて脆弱性へ対処している。

現地時間11月16日に公表したアドバイザリにて、脆弱性「CVE-2022-41622」「CVE-2022-41800」を明らかにしたもの。いずれも重要度は「高(High)」とレーティングされており、同問題へ対処するホットフィクスを用意した。

「CVE-2022-41622」は、「BIG-IP」や「BIG-IQ」のコンポーネント「iControl SOAP」に存在する「クロスサイトリクエストフォージェリ(CSRF)」の脆弱性。ベーシック認証を行った管理者権限を持つユーザーをだますことで、重要な操作を行わせることが可能となる。

また「BIG-IP」のアプライアンスモードにおいてコンポーネント「iControl REST」にコマンドインジェクションの脆弱性「CVE-2022-41800」が判明した。管理者が割り当てられたユーザーは、脆弱性を悪用することでアプライアンスモードの制限を回避できるという。

共通脆弱性評価システム「CVSSv3」のベーススコアは、「CVE-2022-41622」が「8.8」、「CVE-2022-41800」が「8.7」と評価されている。

同社では、いずれもホットフィクスにて脆弱性へ対処しており、ホットフィクスの適用後は「iControl SOAP」におけるベーシック認証を無効にする必要があるとしている。

(Security NEXT - 2022/12/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

「nginx」にアップデート - 「HTTP/3」関連の脆弱性4件を修正
F5がアドバイザリを公開 - 「BIG-IP」などの複数脆弱性を解消
F5の「BIG-IP」や「NGINX」などに脆弱性 - アップデートを
F5「BIG-IP」に認証バイパスの脆弱性 - ホットフィクスの適用を
米当局、脆弱性悪用リストに「BIG-IP」の脆弱性2件を追加
複数脆弱性によりF5製「BIG-IP」を攻撃 - 痕跡消されるおそれも
Cisco製メールセキュリティ製品にスキャン回避の脆弱性
F5がセキュリティアドバイザリ - 脆弱性7件に対応
米英豪、悪用多い脆弱性トップ30件を公表 - 早急に修正を
F5、「BIG-IP」や「NGINX」関連の複数脆弱性に対処