Múltiples vulnerabilidades en productos F5

Fecha de publicación: 05/05/2022

Importancia:
Crítica

Recursos afectados:

• Para la vulnerabilidad crítica está afectado BIG-IP (todos los módulos), versiones:
  • desde la 16.1.0 hasta la 16.1.2;
  • desde la 15.1.0 hasta la 15.1.5;
  • desde la 14.1.0 hasta la 14.1.4;
  • desde la 13.1.0 hasta la 13.1.4;
  • desde la 12.1.0 hasta la 12.1.6;
  • desde la 11.6.1 hasta la 11.6.5.

Para el resto de vulnerabilidades no críticas se pueden consultar los productos afectados en Overview of F5 vulnerabilities (May 2022).

Descripción:

Se han publicado múltiples vulnerabilidades en productos F5, una de ellas crítica, que podría permitir a un atacante no autenticado, con acceso a la red del sistema BIG-IP a través del puerto de gestión y/o direcciones IP propias, ejecutar comandos arbitrarios del sistema, crear o eliminar archivos o desactivar servicios.

Solución:

Actualizar BIG-IP (todos los módulos) a las versiones:

• 17.0.0;
• 16.1.2.2;
• 15.1.5.1;
• 14.1.4.6;
• 13.1.5.

Para el resto de vulnerabilidades no críticas se pueden consultar las versiones correctoras en la columna Fixes introduced in en Overview of F5 vulnerabilities (May 2022).

Detalle:

• Esta vulnerabilidad podría permitir a un atacante no autenticado, con acceso a la red del sistema BIG-IP a través del puerto de gestión y/o direcciones IP propias, ejecutar comandos arbitrarios del sistema, crear o eliminar archivos o desactivar servicios. No hay exposición en el plano de datos, solo afecta al plano de control. Se ha asignado el identificador CVE-2022-1388 para esta vulnerabilidad crítica.

El resto de identificadores CVE de las vulnerabilidades no críticas se pueden consultar en Overview of F5 vulnerabilities (May 2022).

Etiquetas:
Actualización, Vulnerabilidad