Търсене
Close this search box.

Фирмата за доставка на приложения и сигурност F5 обяви пускането на пачове за девет уязвимости като част от тримесечното си уведомление за сигурност за август 2024 г., включително поправки за високосериозни недостатъци в BIG-IP и NGINX Plus.

Засягайки BIG-IP Next Central Manager, най-сериозният от тези проблеми е CVE-2024-39809 – грешка с недостатъчно изтичане на сесията, която съществува, тъй като токенът за обновяване на потребителската сесия не изтича при излизане от системата.

„Нападател с достъп до получаване на бисквитките на сесията на потребителя може да продължи да използва тази сесия за достъп до BIG-IP Next Central Manager и системите, управлявани от BIG-IP Next Central Manager, след като потребителят е излязъл от системата. Няма излагане на риск на плоскостта на данните; това е проблем само на плоскостта на управлението“, отбелязва F5 в своята консултация.

Дефектът в сигурността засяга версия 20.1.0 на BIG-IP Next Central Manager и е отстранен с пускането на версия 20.2.0.

Потребителите, които не могат да приложат поправката, могат да намалят уязвимостта, като ограничат достъпа до управлението само до доверени потребители и устройства, излязат и затворят всички екземпляри на уеб браузъра след използване на уеб интерфейса и използват отделни браузъри за управление на уеб интерфейса и за всякакви други цели.

Вторият бъг с висока степен на опасност, който F5 отстрани, е CVE-2024-39778 – слабост в реализацията на BIG-IP, която води до това, че виртуалните сървъри не обработват клиентски връзки и микроядрото за управление на трафика (TMM) спира при виртуални сървъри без състояние, конфигурирани с високоскоростен мост (HSB).

„Трафикът се прекъсва, докато системата се рестартира автоматично. Тази уязвимост позволява на отдалечен неавтентифициран нападател да предизвика отказ на услуга (DoS) в системата BIG-IP. Няма излагане на риск на плоскостта за управление; това е проблем само на плоскостта за данни“, обясняват от F5.

Недостатъкът засяга версии 15.x, 16.x и 17.x на BIG-IP и е отстранен с пускането на версии 16.1.5 и 17.1.1. Конфигурирането на виртуалния сървър на Standard и промяната на стойността на Idle Timeout на свързания UDP профил, за да се използва Immediate, смекчава грешката.

Друг проблем с висока степен на опасност беше отстранен в екземпляри на NGINX Plus, конфигурирани да използват модула за филтриране на MQTT. Дефектът в сигурността, проследен като CVE-2024-39792, води до неразкрити заявки, които причиняват увеличаване на използването на ресурсите.

Успешното използване на уязвимостта може да доведе до влошаване на производителността, като в крайна сметка главният и работният процес на NGINX ще изискват принудително или ръчно рестартиране. Версиите на NGINX Plus R32 P1 и R31 P3 разрешават грешката, но деактивирането на модула за филтриране на MQTT я смекчава.

Четвъртият недостатък с висока степен на опасност, разкрит от F5, е CVE-2024-41727 – проблем с повишено потребление на ресурси, който засяга наемателите на BIG-IP, работещи с хардуер от сериите r2000 и r4000, и виртуалните издания (VE) на BIG-IP, използващи мрежова карта Intel E810 SR-IOV.

Отдалечен, неавтентифициран нападател може да се възползва от уязвимостта, за да влоши качеството на услугата, докато процесът TMM не бъде принуден да се рестартира, предизвиквайки DoS състояние.

Уязвимостта засяга версии 15.x и 16.x на BIG-IP и е отстранена с пускането на версия 16.1.5 на устройството.

F5 обяви също така поправки за пет уязвимости със средна степен на опасност в BIG-IP и NGINX (Plus и Open Source), които могат да доведат до условия на DoS, блокиране на акаунти, разкриване на потребителско име и записване на идентификационни данни в лог файл.

 

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
Бъдете социални
Още по темата
02/10/2024

Eксплоатирани са уязвимости...

В понеделник американската агенция за киберсигурност...
30/09/2024

Критичен недостатък в NVIDI...

Критична уязвимост в NVIDIA Container Toolkit...
26/09/2024

Вратите на здравно заведени...

Изследовател твърди, че американско здравно заведение...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!