F5、四半期定例アドバイザリで脆弱性12件に対処
F5は現地時間2025年5月7日、四半期ごとの定例セキュリティアドバイザリを公開した。「F5OS」や「BIG-IP」に関連する12件の脆弱性へ対処したことを明らかにしている。
重要度を見ると、4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性はなく、2番目に高い「高(High)」とされる脆弱性は11件だった。
具体的には、「F5OS」においてより高い権限のロールで認可される脆弱性「CVE-2025-46265」や、rootに対してSSH鍵ベース認証を許可した場合に、アプライアンスモードへ移行後も、引き続きSSH鍵ベース認証が利用できる「CVE-2025-36546」が確認された。
一方「BIG-IP」では、「iControl REST」および「TMOS Shell」において管理者権限を持つ場合に任意のシステムコマンドが実行できる「CVE-2025-31644」が明らかとなっている。
さらにサービス拒否につながるおそれがある「CVE-2025-36557」「CVE-2025-36504」「CVE-2025-41433」「CVE-2025-41414」などへ対応している。
(Security NEXT - 2025/05/09 )
ツイート
関連リンク
- F5:F5OS vulnerability CVE-2025-46265
- F5:F5OS Appliance Mode vulnerability CVE-2025-36546
- F5:Appliance mode BIG-IP iControl REST and tmsh vulnerability CVE-2025-31644
- F5:SCTP vulnerability CVE-2025-41399
- F5:BIG-IP HTTP vulnerability CVE-2025-36557
- F5:BIG-IP HTTP/2 vulnerability CVE-2025-36504
- F5:BIG-IP SIP ALG profile vulnerability CVE-2025-41433
- F5:BIG-IP HTTP/2 vulnerability CVE-2025-41414
- F5:BIG-IP APM PingAccess vulnerability CVE-2025-36525
- F5:BIG-IP PEM vulnerability CVE-2025-35995
- F5:TMM vulnerability CVE-2025-41431
- F5:F5OS vulnerability CVE-2025-43878
- F5
PR
関連記事
「Grafana」にクリティカル脆弱性 - なりすましや権限昇格のおそれ
ファイル転送サーバ「SolarWinds Serv-U」に脆弱性 - 「クリティカル」も複数
米当局、「Chromium」ゼロデイ脆弱性に注意喚起 - 派生ブラウザも警戒を
エプソン製プロジェクターに脆弱性 - 310機種に影響
「NVIDIA DGX Spark」に複数脆弱性 - 重要度「クリティカル」も
「Apache Druid」のCookie署名に脆弱性 - アップデートをリリース
Atlassian、2025年10月の更新で脆弱性39件を修正
MFA基盤管理製品「RSA AM」にセキュリティアップデート
「LogStare Collector」に複数の脆弱性 - 最新版へ更新を
「Apache Syncope」に脆弱性 - 内部DB構成でPW特定のおそれ
