Фирмата за доставка на приложения и сигурност F5 обяви пускането на пачове за девет уязвимости като част от тримесечното си уведомление за сигурност за август 2024 г., включително поправки за високосериозни недостатъци в BIG-IP и NGINX Plus.
Засягайки BIG-IP Next Central Manager, най-сериозният от тези проблеми е CVE-2024-39809 – грешка с недостатъчно изтичане на сесията, която съществува, тъй като токенът за обновяване на потребителската сесия не изтича при излизане от системата.
„Нападател с достъп до получаване на бисквитките на сесията на потребителя може да продължи да използва тази сесия за достъп до BIG-IP Next Central Manager и системите, управлявани от BIG-IP Next Central Manager, след като потребителят е излязъл от системата. Няма излагане на риск на плоскостта на данните; това е проблем само на плоскостта на управлението“, отбелязва F5 в своята консултация.
Дефектът в сигурността засяга версия 20.1.0 на BIG-IP Next Central Manager и е отстранен с пускането на версия 20.2.0.
Потребителите, които не могат да приложат поправката, могат да намалят уязвимостта, като ограничат достъпа до управлението само до доверени потребители и устройства, излязат и затворят всички екземпляри на уеб браузъра след използване на уеб интерфейса и използват отделни браузъри за управление на уеб интерфейса и за всякакви други цели.
Вторият бъг с висока степен на опасност, който F5 отстрани, е CVE-2024-39778 – слабост в реализацията на BIG-IP, която води до това, че виртуалните сървъри не обработват клиентски връзки и микроядрото за управление на трафика (TMM) спира при виртуални сървъри без състояние, конфигурирани с високоскоростен мост (HSB).
„Трафикът се прекъсва, докато системата се рестартира автоматично. Тази уязвимост позволява на отдалечен неавтентифициран нападател да предизвика отказ на услуга (DoS) в системата BIG-IP. Няма излагане на риск на плоскостта за управление; това е проблем само на плоскостта за данни“, обясняват от F5.
Недостатъкът засяга версии 15.x, 16.x и 17.x на BIG-IP и е отстранен с пускането на версии 16.1.5 и 17.1.1. Конфигурирането на виртуалния сървър на Standard и промяната на стойността на Idle Timeout на свързания UDP профил, за да се използва Immediate, смекчава грешката.
Друг проблем с висока степен на опасност беше отстранен в екземпляри на NGINX Plus, конфигурирани да използват модула за филтриране на MQTT. Дефектът в сигурността, проследен като CVE-2024-39792, води до неразкрити заявки, които причиняват увеличаване на използването на ресурсите.
Успешното използване на уязвимостта може да доведе до влошаване на производителността, като в крайна сметка главният и работният процес на NGINX ще изискват принудително или ръчно рестартиране. Версиите на NGINX Plus R32 P1 и R31 P3 разрешават грешката, но деактивирането на модула за филтриране на MQTT я смекчава.
Четвъртият недостатък с висока степен на опасност, разкрит от F5, е CVE-2024-41727 – проблем с повишено потребление на ресурси, който засяга наемателите на BIG-IP, работещи с хардуер от сериите r2000 и r4000, и виртуалните издания (VE) на BIG-IP, използващи мрежова карта Intel E810 SR-IOV.
Отдалечен, неавтентифициран нападател може да се възползва от уязвимостта, за да влоши качеството на услугата, докато процесът TMM не бъде принуден да се рестартира, предизвиквайки DoS състояние.
Уязвимостта засяга версии 15.x и 16.x на BIG-IP и е отстранена с пускането на версия 16.1.5 на устройството.
F5 обяви също така поправки за пет уязвимости със средна степен на опасност в BIG-IP и NGINX (Plus и Open Source), които могат да доведат до условия на DoS, блокиране на акаунти, разкриване на потребителско име и записване на идентификационни данни в лог файл.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.