- cnnvd编号:未知
- 危害等级: 未知
- cve编号:未知
- 漏洞类型: 未知
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-03-11
- 更新时间:2021-05-18
漏洞简介
f5 big-ip是美国f5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2021年3月11日,f5官方发布了多个安全漏洞的公告。具体如下:
序号 | 漏洞名称 | 漏洞编号 | 漏洞简介 |
1 | f5 big-ip 安全漏洞 | cnnvd-202103-770、cve-2021-22986 | 该漏洞允许未经身份验证的攻击者通过big-ip管理界面和自身ip地址对icontrol rest接口进行网络访问,以执行任意系统命令,创建或删除文件以及禁用服务。 |
2 | f5 big-ip 安全漏洞 | cnnvd-202103-772、cve-2021-22987 | 当以设备模式运行时,该漏洞允许经过身份验证的用户通过big-ip管理端口或自身ip地址访问tmui,以执行任意系统命令,创建或删除文件以及禁用服务。 |
3 | f5 big-ip 安全漏洞 | cnnvd-202103-784、cve-2021-22991 | 流量管理微内核(traffic management microkernel, tmm) uri 的规范化可能会错误地处理对虚拟服务器的请求,从而触发缓冲区溢出,导致拒绝服务攻击。在一定条件下,可能绕过基于url的访问控制,造成远程代码执行。 |
4 | f5 big-ip 安全漏洞 | cnnvd-202103-781、cve-2021-22992 | 在策略中配置了login page的advanced waf/asm虚拟服务器在响应恶意http时可能会触发缓冲区溢出,从而导致拒绝服务攻击。在一定条件下,可能造成远程代码执行。 |
漏洞公示
参考网站
受影响实体
f5 big-ip在全球范围内拥有大量用户,主要分布在美国、中国、日本等国家。互联网检索发现,全球受影响的资产在3万左右,其中超过40%的用户在美国,共1.4万条使用记录,超过20%的设备在中国大陆,共8千余条使用记录。漏洞影响具体版本如下:
序号 | 漏洞名称 | 漏洞编号 | 影响版本 |
1 | f5 big-ip 安全漏洞 | cnnvd-202103-770、cve-2021-22986 | big-ip: 16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 big-iq: 7.1.0-7.1.0.2 7.0-7.0.0.1 6.0.0-6.1.0 |
2 | f5 big-ip 安全漏洞 | cnnvd-202103-772、cve-2021-22987 | big-ip: 16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13. 1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2 |
3 | f5 big-ip 安全漏洞 | cnnvd-202103-784、cve-2021-22991 | big-ip: 16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 |
4 | f5 big-ip 安全漏洞 | cnnvd-202103-781、cve-2021-22992 | big-ip advanced waf/asm 15.1.0-15.1.2 14.1.0-14.1.3.1 13. 1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2 |
补丁
目前,f5官方已经发布了修复漏洞的升级版本,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方升级地址如下:
本通报由cnnvd技术支撑单位——内蒙古奥创科技有限公司、北京启明星辰信息安全技术有限公司、北京华云安信息技术有限公司、北京奇虎科技有限公司、浪潮电子信息产业股份有限公司提供支持。
cnnvd将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与cnnvd联系。正规网赌十大娱乐棋牌的联系方式: cnnvd@itsec.gov.cn
