F5、四半期定例アドバイザリで脆弱性12件に対処
F5は現地時間2025年5月7日、四半期ごとの定例セキュリティアドバイザリを公開した。「F5OS」や「BIG-IP」に関連する12件の脆弱性へ対処したことを明らかにしている。
重要度を見ると、4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性はなく、2番目に高い「高(High)」とされる脆弱性は11件だった。
具体的には、「F5OS」においてより高い権限のロールで認可される脆弱性「CVE-2025-46265」や、rootに対してSSH鍵ベース認証を許可した場合に、アプライアンスモードへ移行後も、引き続きSSH鍵ベース認証が利用できる「CVE-2025-36546」が確認された。
一方「BIG-IP」では、「iControl REST」および「TMOS Shell」において管理者権限を持つ場合に任意のシステムコマンドが実行できる「CVE-2025-31644」が明らかとなっている。
さらにサービス拒否につながるおそれがある「CVE-2025-36557」「CVE-2025-36504」「CVE-2025-41433」「CVE-2025-41414」などへ対応している。
(Security NEXT - 2025/05/09 )
ツイート
関連リンク
- F5:F5OS vulnerability CVE-2025-46265
- F5:F5OS Appliance Mode vulnerability CVE-2025-36546
- F5:Appliance mode BIG-IP iControl REST and tmsh vulnerability CVE-2025-31644
- F5:SCTP vulnerability CVE-2025-41399
- F5:BIG-IP HTTP vulnerability CVE-2025-36557
- F5:BIG-IP HTTP/2 vulnerability CVE-2025-36504
- F5:BIG-IP SIP ALG profile vulnerability CVE-2025-41433
- F5:BIG-IP HTTP/2 vulnerability CVE-2025-41414
- F5:BIG-IP APM PingAccess vulnerability CVE-2025-36525
- F5:BIG-IP PEM vulnerability CVE-2025-35995
- F5:TMM vulnerability CVE-2025-41431
- F5:F5OS vulnerability CVE-2025-43878
- F5
PR
関連記事
「WatchGuard Firebox」に脆弱性 - ゼロデイ攻撃が発生、更新や痕跡調査を
「Apache StreamPark」に暗号化などの脆弱性3件が判明
「OpenShift GitOps」に権限昇格の脆弱性 - クラスタ掌握のおそれ
CiscoやSonicWallのゼロデイ脆弱性悪用に注意喚起 - 米CISA
「Node.js」のアップデートが再延期 - 年明け2026年1月7日を予定
SonicWallのリモートアクセス製品「SMA1000」にゼロデイ脆弱性
「Apache Airflow」の開発用拡張コンポーネントにRCE脆弱性
NVIDIAのロボティクスやAI開発向けシミュレーション基盤に脆弱性
Ciscoのメールセキュリティ製品にゼロデイ攻撃 - 構成や侵害状況の確認を
Fortinet複数製品の認証回避脆弱性、悪用が発生 - 設定確認を
