شرکت امنیتی F5 Networks در یک اطلاعیه درباره چهار آسیبپذیری حیاتی که چندین محصول این شرکت را تحت تأثیر قرار میدهند هشدار داد، این آسیبپذیریها میتوانند منجر به انکار سرویس (DoS) و حتی اجرای کد از راه دور در شبکههای هدف شوند.
این وصلهها در مجموع مربوط به هفت نقص در این پلتفرم است (از CVE-2021-22986 تا CVE-2021-22992) دو مورد(۱,۲) از آنها توسط فلیکس ویلهلم از Google Project Zero در دسامبر سال ۲۰۲۰ کشف و گزارش شد.
چهار نقص مهم بر نسخههای BIG-IP 11.6 یا ۱۲.x و جدیدتر تأثیر میگذارند، آسیبپذیری pre-auth remote code execution(CVE-2021-22986) همچنین نسخههای ۶.x و ۷.x BIG-IQ را تحت تأثیر قرار میدهد. F5 اظهار داشت که از هیچگونه بهرهبرداری عمومی از این نقصها اطلاع ندارد.
بهرهبرداری موفقیتآمیز از این آسیبپذیریها میتواند منجر به دسترسی کامل سیستمهای آسیبپذیر شود، از جمله امکان اجرای کد از راه دور و همچنین ایجاد سرریز بافر که منجر به حمله DoS میشود.
این آسیبپذیریها در محصولات زیر برطرف شدهاند:
- BIG-IP نسخههای: ۱۶.۰.۱.۱, ۱۵.۱.۲.۱, ۱۴.۱.۴, ۱۳.۱.۳.۶, ۱۲.۱.۵.۳ و ۱۱.۶.۵.۳
- BIG-IQ نسخههای: ۸.۰.۰, ۷.۱.۰.۳ و ۷.۰.۰.۲
علاوه بر این نقصها، همچنین وصلههای منتشر شده شامل رفع ۱۴ مورد امنیتی غیرمرتبط دیگر نیز میباشند.
یک نظر