鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】F5 8月多个清静误差

宣布时间 2021-08-26

0x00 误差概述

2021年8月24日，，，，F5宣布清静更新，，，，修复了其BIG-IP等产品中的29个清静误差。。。。。。这些误差包括经由身份验证的远程下令执行、XSS、CSRF、SSRF和拒绝效劳等。。。。。。

0x01 误差详情

本次修复的高危误差为13个，，，，除CVE-2021-23031之外，，，，其它误差的CVSS评分规模为7.2-7.5，，，，5个误差影响了 WAF 和 ASM，，，，1个误差影响了 DNS 模�？？？？？？椤！！�。。。

其中包括一个在特定条件下被使用时评级为严重的误差，，，，该误差的CVE编号为CVE-2021-23031，，，，是 BIG-IP Web 应用防火墙 (WAF) 和应用清静治理器 (ASM) 流量管理用户界面 (TMUI) 上的权限提升误差。。。。。。该误差的CVSS评分为8.8，，，，经由身份验证且具有设置适用程序会见权限的攻击者可以使用此误差来提升权限，，，，最终可以执行恣意系统下令、建设或删除恣意文件、禁用效劳等。。。。。。但若是应用了装备模式，，，，该误差的CVSS评分将提升为9.9。。。。。。

F5本次宣布的清静更新中的13个高危误差及其影响规模、修复版本如下:

CVE ID	严重性	CVSS评分	受影响产品	受影响版本	修复版本
CVE-2021-23025	高	7.2	BIG-IP（所有模�？？？？？？椋�	15.0.0 - 15.1.0 14.1.0 - 14.1.3 13.1.0 - 13.1.3 12.1.0 - 12.1.6 11.6.1 - 11.6.5	16.0.0 15.1.0.5 14.1.3.1 13.1.3.5
CVE-2021-23026	高	7.5	BIG-IP（所有模�？？？？？？椋�	16.0.0 - 16.0.1 15.1.0 - 15.1.2 14.1.0 - 14.1.4 13.1.0 - 13.1.4 12.1.0 - 12.1.6 11.6.1 - 11.6.5	16.1.0 16.0.1.2 15.1.3 14.1.4.2 13.1.4.1
CVE-2021-23026	高	7.5	BIG-IQ	8.0.0 - 8.1.0 7.0.0 - 7.1.0 6.0.0 - 6.1.0	无
CVE-2021-23027	高	7.5	BIG-IP（所有模�？？？？？？椋�	16.0.0 - 16.0.1 15.1.0 - 15.1.2 14.1.0 - 14.1.4	16.1.0 16.0.1.2 15.1.3.1 14.1.4.3
CVE-2021-23028	高	7.5	BIG-IP（WAF、ASM）	16.0.1 15.1.1 - 15.1.3 14.1.3.1 - 14.1.4.1 13.1.3.5 - 13.1.3.6	16.1.0 16.0.1.2 15.1.3.1 14.1.4.2 13.1.4
CVE-2021-23029	高	7.5	BIG-IP（WAF、ASM）	16.0.0 - 16.0.1	16.1.0 16.0.1.2
CVE-2021-23030	高	7.5	BIG-IP（WAF、ASM）	16.0.0 - 16.0.1 15.1.0 - 15.1.3 14.1.0 - 14.1.4 13.1.0 - 13.1.4 12.1.0 - 12.1.6	16.1.0 16.0.1.2 15.1.3.1 14.1.4.3 13.1.4.1
CVE-2021-23031	高/严重 ( 仅装备模式)	8.8/ 9.9	BIG-IP（WAF、ASM）	16.0.0 - 16.0.1 15.1.0 - 15.1.2 14.1.0 - 14.1.4 13.1.0 - 13.1.3 12.1.0 - 12.1.5 11.6.1 - 11.6.5	16.1.0 16.0.1.2 15.1.3 14.1.4.1 13.1.4 12.1.6 11.6.5.3
CVE-2021-23032	高	7.5	BIG-IP (DNS)	16.0.0 - 16.0.1 15.1.0 - 15.1.3 14.1.0 - 14.1.4 13.1.0 - 13.1.4 12.1.0 - 12.1.6	16.1.0 15.1.3.1 14.1.4.4
CVE-2021-23033	高	7.5	BIG-IP（WAF、ASM）	16.0.0 - 16.0.1 15.1.0 - 15.1.3 14.1.0 - 14.1.4 13.1.0 - 13.1.4 12.1.0 - 12.1.6	16.1.0 15.1.3.1 14.1.4.3 13.1.4.1
CVE-2021-23034	高	7.5	BIG-IP	16.0.0 - 16.0.1 15.1.0 - 15.1.3	16.1.0 15.1.3.1
CVE-2021-23035	高	7.5	BIG-IP	14.1.0 - 14.1.4	14.1.4.4
CVE-2021-23036	高	7.5	BIG-IP（WAF、ASM、DataSafe）	16.0.0 - 16.0.1	16.1.0 16.0.1.2
CVE-2021-23037	高	7.5	BIG-IP	16.0.0 - 16.1.0 15.1.0 - 15.1.3 14.1.0 - 14.1.4 13.1.0 - 13.1.4 12.1.0 - 12.1.6 11.6.1 - 11.6.5	无

别的，，，，F5还修复了其BIG-IP等产品中的其它16其中危和低危误差，，，，这些误差的CVSS评分规模为3.7-6.8，，，，攻击者可以使用这些误差执行XSS攻击、SQL注入、会见恣意文件等。。。。。。

0x02 处置惩罚建议

现在这些误差已在部分版本中修复，，，，F5 建议客户将 BIG-IP 装备至少更新或升级到 BIG-IP 14.1.0，，，，将 BIG-IP VE 至少更新或升级到 BIG-IP 15.1.0，，，，建议参考官方通告实时升级更新。。。。。。

下载链接：

https://support.f5.com/csp/article/K50974556

0x03 参考链接

https://support.f5.com/csp/article/K50974556

https://www.bleepingcomputer.com/news/security/critical-f5-big-ip-bug-impacts-customers-in-sensitive-sectors/

https://securityaffairs.co/wordpress/121454/security/f5-big-ip-critical-flaw.html?

0x04 更新版本

版本	日期	修改内容
V1.0	2021-08-26	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于鉴黑担保网

关注以下公众号，，，，获取更多资讯：

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】