В F5 BIG-IP устранили критическую RCE-уязвимость - «Новости» » Интернет технологии
sitename
МВД России арестовало хак-группу, стоящую за разработкой стилера Meduza - «Новости»
МВД России арестовало хак-группу, стоящую за разработкой стилера Meduza - «Новости»
 Уязвимость Brash выводит из строя Chromium-браузеры - «Новости»
Уязвимость Brash выводит из строя Chromium-браузеры - «Новости»
 MEGANews. Cамые важные события в мире инфосека за октябрь - «Новости»
MEGANews. Cамые важные события в мире инфосека за октябрь - «Новости»
 Атака TEE.fail обходит защиту конфиденциальных вычислений на процессорах Intel и AMD - «Новости»
Атака TEE.fail обходит защиту конфиденциальных вычислений на процессорах Intel и AMD - «Новости»
 Новая версия Android-трояна DeliveryRAT может использоваться для DDoS-атак - «Новости»
Новая версия Android-трояна DeliveryRAT может использоваться для DDoS-атак - «Новости»
 Специалисты iFixit обнаружили «парадокс ремонта» при разборке iPad Pro с чипом M5 - «Новости сети»
Специалисты iFixit обнаружили «парадокс ремонта» при разборке iPad Pro с чипом M5 - «Новости сети»
 Google выяснила, что Android эффективнее iOS блокирует спам и мошеннические SMS - «Новости сети»
Google выяснила, что Android эффективнее iOS блокирует спам и мошеннические SMS - «Новости сети»
 Спасибо, Epic Games: Google разрешила разработчикам обходить комиссию «Play Маркета» - «Новости сети»
Спасибо, Epic Games: Google разрешила разработчикам обходить комиссию «Play Маркета» - «Новости сети»
 Платный эвакуационный шутер ARC Raiders за несколько часов после релиза собрал более 175 тыс. игроков в Steam - «Новости сети»
Платный эвакуационный шутер ARC Raiders за несколько часов после релиза собрал более 175 тыс. игроков в Steam - «Новости сети»
 Telegram начал предлагать россиянам отправлять SMS незнакомым людям в обмен на Premium - «Новости сети»
Telegram начал предлагать россиянам отправлять SMS незнакомым людям в обмен на Premium - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Отступы и поля » В F5 BIG-IP устранили критическую RCE-уязвимость - «Новости»

✔В F5 BIG-IP устранили критическую RCE-уязвимость - «Новости»

06 мая 2022 848 Отступы и поля / Вёрстка / Добавления стилей / Изображения / Новости / Преимущества стилей 0

Разработчики F5 предупреждают о критической уязвимости, которая позволяет неаутентифицированным злоумышленникам с доступом к сети выполнять произвольные системные команды, действия с файлами и отключать службы в BIG-IP.


В общей сложности на этой неделе разработчики F5 выпустили исправления для 43 ошибок в своих продуктах, включая один критический баг, 17 проблем с высокой степенью серьезности, 24 — средней степени серьезности и одну уязвимость низкой серьезности.


Самой опасной проблемой из этого «набора» стала CVE-2022-1388, получившая 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS. Недостаток связан с отсутствием аутентификации и позволяет злоумышленнику захватить контроль над уязвимой системой. Сообщается, что проблема затрагивает компонент iControl REST и фактически позволяет хакеру отправлять скрытые запросы для обхода аутентификации iControl REST в BIG-IP.


Уязвимость представляет угрозу для следующих продуктов:



  • BIG-IP версий от 16.1.0 до 16.1.2;

  • BIG-IP версий от 15.1.0 до 15.1.5;

  • BIG-IP версий от 14.1.0 до 14.1.4;

  • BIG-IP версий от 13.1.0 до 13.1.4;

  • BIG-IP версий от 12.1.0 до 12.1.6;

  • BIG-IP версий от 11.6.1 до 11.6.5.


Патчи были представлены в версиях 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 и 13.1.5, а ветки 12.x и 11.x исправлений не получат.


Подчеркивается, что другие продукты F5, включая BIG-IQ, F5OS-A, F5OS-C и Traffix SDC этой проблемой не затронуты.


Разработчики говорят, что временно защититься от CVE-2022-1388 можно заблокировав любой доступ к интерфейсу REST iControl в системе BIG-IP через собственные IP-адреса (self IP address), ограничив доступ только доверенными пользователями и устройствами через интерфейс управления или изменив конфигурацию httpd BIG-IP.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Разработчики F5 предупреждают о критической уязвимости, которая позволяет неаутентифицированным злоумышленникам с доступом к сети выполнять произвольные системные команды, действия с файлами и отключать службы в BIG-IP. В общей сложности на этой неделе разработчики F5 выпустили исправления для 43 ошибок в своих продуктах, включая один критический баг, 17 проблем с высокой степенью серьезности, 24 — средней степени серьезности и одну уязвимость низкой серьезности. Самой опасной проблемой из этого «набора» стала CVE-2022-1388, получившая 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS. Недостаток связан с отсутствием аутентификации и позволяет злоумышленнику захватить контроль над уязвимой системой. Сообщается, что проблема затрагивает компонент iControl REST и фактически позволяет хакеру отправлять скрытые запросы для обхода аутентификации iControl REST в BIG-IP. Уязвимость представляет угрозу для следующих продуктов: BIG-IP версий от 16.1.0 до 16.1.2; BIG-IP версий от 15.1.0 до 15.1.5; BIG-IP версий от 14.1.0 до 14.1.4; BIG-IP версий от 13.1.0 до 13.1.4; BIG-IP версий от 12.1.0 до 12.1.6; BIG-IP версий от 11.6.1 до 11.6.5. Патчи были представлены в версиях 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 и 13.1.5, а ветки 12.x и 11.x исправлений не получат. Подчеркивается, что другие продукты F5, включая BIG-IQ, F5OS-A, F5OS-C и Traffix SDC этой проблемой не затронуты. Разработчики говорят, что временно защититься от CVE-2022-1388 можно заблокировав любой доступ к интерфейсу REST iControl в системе BIG-IP через собственные IP-адреса (self IP address), ограничив доступ только доверенными пользователями и устройствами через интерфейс управления или изменив конфигурацию httpd BIG-IP.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: