F5がアドバイザリを公開 - 「BIG-IP」などの複数脆弱性を解消
F5は、現地時間5月8日に定例のセキュリティアドバイザリを公開した。「BIG-IP」や関連モジュールなど同社製品に関する複数の脆弱性を明らかにしている。
四半期ごとに公開しているアドバイザリで、CVEベースであわせて13件の脆弱性に対処したことを明らかにしたもの。脆弱性によって対象となる製品は異なるが、同社アプライアンス「BIG-IP」や関連モジュール、VPNクライアントなどに影響がある脆弱性を解消している。
7件については、共通脆弱性評価システム「CVSSv3.1」のベーススコアが「8.0」から「7.4」のレンジにあり、重要度は4段階中、上から2番目にあたる「高(High)」としている。
「BIG-IP Next Central Manager」のAPIにおいて悪意あるSQLが実行可能となる「CVE-2024-21793」「CVE-2024-26026」を修正。
中間者攻撃によりリモートから認証を必要とすることなく「BIG-IP APM」システムとのVPN接続が確立できる「CVE-2024-28883」、仮想サーバ上で「IPsec」を稼働している場合にサービス拒否に陥る「CVE-2024-33608」などへ対処した。
のこる6件については重要度が1段階低い「中(Medium)」とレーティング。またCVE番号は採番されていないが、3件のセキュリティに関するアドバイザリをリリースした。「BIG-IP」のほか、「NGINX App Protect WAF」なども影響を受ける。
今回修正した脆弱性は以下のとおり。
CVE-2024-21793
CVE-2024-25560
CVE-2024-26026
CVE-2024-27202
CVE-2024-28132
CVE-2024-28883
CVE-2024-28889
CVE-2024-31156
CVE-2024-32049
CVE-2024-32761
CVE-2024-33604
CVE-2024-33608
CVE-2024-33612
(Security NEXT - 2024/05/10 )
ツイート
関連リンク
- F5:Quarterly Security Notification (May 2024)
- F5:BIG-IP Configuration utility XSS vulnerability CVE-2024-31156
- F5:BIG-IP Next Central Manager OData Injection vulnerability CVE-2024-21793
- F5:BIG-IP Next Central Manager SQL Injection vulnerability CVE-2024-26026
- F5:BIG-IP IPsec vulnerability CVE-2024-33608
- F5:TMM vulnerability CVE-2024-25560
- F5:BIG-IP Next Central Manager vulnerability CVE-2024-32049
- F5:BIG-IP APM browser network access VPN client vulnerability CVE-2024-28883
- F5:BIG-IP Next Central Manager vulnerability CVE-2024-33612
- F5:BIG-IP TMM tenants on VELOS and rSeries vulnerability CVE-2024-32761
- F5:BIG-IP Configuration utility XSS vulnerability CVE-2024-33604
- F5:BIG-IP SSL vulnerability CVE-2024-28889
- F5:BIG-IP Configuration utility vulnerability CVE-2024-27202
- F5:BIG-IP Next CNF vulnerability CVE-2024-28132
- F5:The BIG-IP system may fail to block HTTP Request Smuggling attacks
- F5:BIG-IP HTTP non-RFC-compliant security exposure
- F5:BIG-IP Advanced WAF/ASM, BIG-IP Next WAF, and NGINX App Protect WAF attack signature check failure
- F5
PR
関連記事
除草工事委託先への安全講習会案内メールで誤送信 - 茨城県
ITインフラ監視ツール「Pandora FMS」に脆弱性 - アップデートで修正
「Active! mail 6」に「XSS」や「CSRF」脆弱性 - 修正版へ更新を
若年層向けアジアCTF大会「ACSC 2025」が8月開催 - 世界大会は東京
ランサム被害でデータ暗号化、原因など調査 - 新興プラスチックス
ポケモングッズ通販サイトにPWリスト攻撃 - 一部で会員情報改ざんも
「PHP」に複数脆弱性 - セキュリティリリースが公開
ブラウザ「Chrome」の「Cookie暗号化保護」を破壊する「C4攻撃」
大音量で煽る「サポート詐欺」の被害、端末内部に学生情報 - 名大
メール送信した資料に物件オーナーの個人情報 - 長谷工ライブネット