Фирмата за доставка на приложения и сигурност F5 обяви пускането на пачове за девет уязвимости като част от тримесечното си уведомление за сигурност за август 2024 г., включително поправки за високосериозни недостатъци в BIG-IP и NGINX Plus.

Засягайки BIG-IP Next Central Manager, най-сериозният от тези проблеми е CVE-2024-39809 – грешка с недостатъчно изтичане на сесията, която съществува, тъй като токенът за обновяване на потребителската сесия не изтича при излизане от системата.

„Нападател с достъп до получаване на бисквитките на сесията на потребителя може да продължи да използва тази сесия за достъп до BIG-IP Next Central Manager и системите, управлявани от BIG-IP Next Central Manager, след като потребителят е излязъл от системата. Няма излагане на риск на плоскостта на данните; това е проблем само на плоскостта на управлението“, отбелязва F5 в своята консултация.

Дефектът в сигурността засяга версия 20.1.0 на BIG-IP Next Central Manager и е отстранен с пускането на версия 20.2.0.

Потребителите, които не могат да приложат поправката, могат да намалят уязвимостта, като ограничат достъпа до управлението само до доверени потребители и устройства, излязат и затворят всички екземпляри на уеб браузъра след използване на уеб интерфейса и използват отделни браузъри за управление на уеб интерфейса и за всякакви други цели.

Вторият бъг с висока степен на опасност, който F5 отстрани, е CVE-2024-39778 – слабост в реализацията на BIG-IP, която води до това, че виртуалните сървъри не обработват клиентски връзки и микроядрото за управление на трафика (TMM) спира при виртуални сървъри без състояние, конфигурирани с високоскоростен мост (HSB).

„Трафикът се прекъсва, докато системата се рестартира автоматично. Тази уязвимост позволява на отдалечен неавтентифициран нападател да предизвика отказ на услуга (DoS) в системата BIG-IP. Няма излагане на риск на плоскостта за управление; това е проблем само на плоскостта за данни“, обясняват от F5.

Недостатъкът засяга версии 15.x, 16.x и 17.x на BIG-IP и е отстранен с пускането на версии 16.1.5 и 17.1.1. Конфигурирането на виртуалния сървър на Standard и промяната на стойността на Idle Timeout на свързания UDP профил, за да се използва Immediate, смекчава грешката.

Друг проблем с висока степен на опасност беше отстранен в екземпляри на NGINX Plus, конфигурирани да използват модула за филтриране на MQTT. Дефектът в сигурността, проследен като CVE-2024-39792, води до неразкрити заявки, които причиняват увеличаване на използването на ресурсите.

Успешното използване на уязвимостта може да доведе до влошаване на производителността, като в крайна сметка главният и работният процес на NGINX ще изискват принудително или ръчно рестартиране. Версиите на NGINX Plus R32 P1 и R31 P3 разрешават грешката, но деактивирането на модула за филтриране на MQTT я смекчава.

Четвъртият недостатък с висока степен на опасност, разкрит от F5, е CVE-2024-41727 – проблем с повишено потребление на ресурси, който засяга наемателите на BIG-IP, работещи с хардуер от сериите r2000 и r4000, и виртуалните издания (VE) на BIG-IP, използващи мрежова карта Intel E810 SR-IOV.

Отдалечен, неавтентифициран нападател може да се възползва от уязвимостта, за да влоши качеството на услугата, докато процесът TMM не бъде принуден да се рестартира, предизвиквайки DoS състояние.

Уязвимостта засяга версии 15.x и 16.x на BIG-IP и е отстранена с пускането на версия 16.1.5 на устройството.

F5 обяви също така поправки за пет уязвимости със средна степен на опасност в BIG-IP и NGINX (Plus и Open Source), които могат да доведат до условия на DoS, блокиране на акаунти, разкриване на потребителско име и записване на идентификационни данни в лог файл.