Avisos públicos
Vulnerabilidades importantes en BIG-IP y BIG-IQ de F5
23 mar. 2021 GMT+08:00
I. Información general
F5 ha revelado múltiples vulnerabilidades importantes en BIG-IP/BIG-IQ. Los atacantes pueden explotar estas vulnerabilidades para ejecutar código de manera remota.
CVE-2021-22986, CVSS 9.8: Vulnerabilidad de ejecución remota no autenticada de comandos en la interfaz iControl REST de BIG-IP/BIG-IQ.
CVE-2021-22987, CVSS 9.9: Vulnerabilidad de ejecución remota autenticada de comandos en la interfaz TMUI en modo appliance de BIG-IP.
CVE-2021-22988, CVSS 8.8: Vulnerabilidad de ejecución remota autenticada de comandos en la interfaz de TMUI de BIG-IP.
CVE-2021-22989, CVSS 8.0: Vulnerabilidad de ejecución remota autenticada de comandos en la interfaz TMUI de WAF/ASM avanzados en modo appliance en BIG-IP.
CVE-2021-22990, CVSS 6.6: Vulnerabilidad de ejecución remota autenticada de comandos en la interfaz TMUI de WAF/ASM avanzados en BIG-IP.
CVE-2021-22991, CVSS 9.0: Vulnerabilidad de desbordamiento de búfer de TMM en BIG-IP.
CVE-2021-22992, CVSS 9.0: Vulnerabilidad de desbordamiento de búfer en WAF/ASM avanzados de BIG-IP.
Si usted es usuario de BIG-IP o BIG-IQ de F5, verifique sus versiones e implemente las mejoras de seguridad de manera oportuna.
Para obtener más información sobre esta vulnerabilidad, visite el siguiente sitio web:
https://support.f5.com/csp/article/K02566623
II. Severidad
Severidad: importante
(Severidad: baja, moderada, importante o crítica)
III. Productos afectados
Vulnerabilidad | Versiones afectadas | Versiones seguras |
CVE-2021-22986 | F5 BIG-IP 16.0.0–16.0.1 F5 BIG-IP 15.1.0–15.1.2 F5 BIG-IP 14.1.0–14.1.3.1 F5 BIG-IP 13.1.0–13.1.3.5 F5 BIG-IP 12.1.0–12.1.5.2 F5 BIG-IQ 7.1.0–7.1.0.2 F5 BIG-IQ 7.0.0–7.0.0.1 F5 BIG-IQ 6.0.0–6.1.0 | F5 BIG-IP 16.0.1.1 F5 BIG-IP 15.1.2.1 F5 BIG-IP 14.1.4 F5 BIG-IP 13.1.3.6 F5 BIG-IP 12.1.5.3 F5 BIG-IQ 8.0.0 F5 BIG-IQ 7.1.0.3 F5 BIG-IQ 7.0.0.2 |
CVE-2021-22987 CVE-2021-22988 CVE-2021-22989 CVE-2021-22990 CVE-2021-22992 | F5 BIG-IP 16.0.0–16.0.1 F5 BIG-IP 15.1.0–15.1.2 F5 BIG-IP 14.1.0–14.1.3.1 F5 BIG-IP 13.1.0–13.1.3.5 F5 BIG-IP 12.1.0–12.1.5.2 F5 BIG-IP 11.6.1–11.6.5.2 | F5 BIG-IP 16.0.1.1 F5 BIG-IP 15.1.2.1 F5 BIG-IP 14.1.4 F5 BIG-IP 13.1.3.6 F5 BIG-IP 12.1.5.3 F5 BIG-IP 11.6.5.3 |
CVE-2021-22991 | F5 BIG-IP 16.0.0–16.0.1 F5 BIG-IP 15.1.0–15.1.2 F5 BIG-IP 14.1.0–14.1.3.1 F5 BIG-IP 13.1.0–13.1.3.5 F5 BIG-IP 12.1.0–12.1.5.2 | F5 BIG-IP 16.0.1.1 F5 BIG-IP 15.1.2.1 F5 BIG-IP 14.1.4 F5 BIG-IP 13.1.3.6 F5 BIG-IP 12.1.5.3 |
IV. Manejo de la vulnerabilidad
Se han lanzado versiones oficiales seguras. Instale las versiones actualizadas más seguras.
Si no puede instalar la actualización, consulte las soluciones provisorias proporcionadas en los siguientes enlaces para evitar riesgos de forma temporal:
CVE-2021-22986, CVE-2021-22987, CVE-2021-22988, CVE-2021-22989, CVE-2021-22990, CVE-2021-22991, CVE-2021-22992
Nota: Antes de corregir las vulnerabilidades, cree una copia de respaldo de sus archivos y realice una prueba exhaustiva.