F5 برای رسیدگی به چند آسیبپذیری امنیتی در محصولات شبکه این شرکت توصیهنامهای منتشر کرده است.
این آسیبپذیریها عبارتند از:
- CVE-2023-22374: مهاجم احراز هویت شده میتواند باعث بروز اختلال در پردازش iControl SOAP CGI شده و به صورت بالقوه، کدهای دلخواه را اجرا کند.
- CVE-2023-22358: مهاجم میتواند از فایلهای DLL مخرب برای ارتقای دسترسی روی سیستم ویندوز کلاینت استفاده کند.
- CVE-2023-22842، CVE-2023-22281، CVE-2023-22341، CVE-2023-22340، CVE-2023-22839 ،CVE-2023-23555 و CVE-2023-22422: یک مهاجم راه دور میتواند بدون احراز هویت، روی سیستم BIG-IP حمله محرومسازی از سرویس اجرا کند.
- CVE-2023-22323 ،CVE-2023-22664 و CVE-2023-23552: مهاجم راه دور میتواند بدون احراز هویت باعث تنزل سرویس و اجرای حمله محرومسازی از سرویس روی سیستم BIG-IP شود.
- CVE-2023-22657: مهاجم میتواند فایلی با یک نام مخصوص ایجاد کند که برای تزریق فرمانها جهت فریب ادمین به بارگذاری یک فایل طراحی شدهاند.
آسیبپذیریهای مورد نظر، محصولات زیر را تحت تأثیر قرار دادهاند:
- BIG-IP نسخه 0.0
- BIG-IP نسخههای 1.2.2 – 16.1.3
- BIG-IP نسخههای 1.5.1 – 15.1.8
- BIG-IP نسخههای 1.4.6 – 14.1.5
- BIG-IP نسخههای 1.0 – 13.1.5
- BIG-IP APM Clients نسخههای 2.2 – 7.2.3
- BIG-IP SPK نسخه 6.0
- BIG-IP SPK نسخه 5.0
- F5OS-A نسخه 2.0
- F5OS-A نسخههای 1.0 – 1.1.1
- F5OS-A نسخههای 0.0 – 1.0.1
- F5OS-C نسخههای 3.0 – 1.3.2
به کاربران و مدیران نسخههای تحت تأثیر این آسیبپذیری توصیه شده که جدیدترین نسخه را نصب کرده و بهروزرسانی مهندسی فوری را بلافاصله برای جدیدترین نسخههای پشتیبانی شده BIG-IP نصب کنند.
توصیه شده که کاربران و مدیران به طور منظم به سایت F5 سر بزنند تا در جریان جدیدترین بهروزرسانیها و اقدامات توصیه شده قرار بگیرند.
اطلاعات بیشتر در نشانیهای زیر موجود است: