Af Eskil Sørensen, 22/08/24
Applikationsleverings- og sikkerhedsfirmaet F5 har annonceret rettelser til ni sårbarheder som en del af dens kvartalsvise sikkerhedsmeddelelse fra august 2024.
Det skriver Security Week.
Den mest alvorlige sårbarhed ligger i BIG-IP Next Central Manager, hvor der er en fejl ved et utilstrækkelig sessionsudløb. Fejlen findes, fordi brugersessionens opdateringstoken ikke udløber ved logout. Sårbarheden har id’et CVE-2024-39809 og en score på 8,9.
I sin advisory skriver F5, at en angriber med adgang til en brugers sessionscookies kan fortsætte med at bruge den session til at få adgang til BIG-IP Next Central Manager og systemer, der administreres af BIG-IP Next Central Manager, efter at brugeren er logget ud.
Sikkerhedsfejlen påvirker BIG-IP Next Central Manager version 20.1.0 og blev rettet med udgivelsen af version 20.2.0.
Security Week skriver, at brugere, der ikke kan implementere rettelsen, kan afbøde sårbarheden ved at begrænse administrationsadgang til kun betroede brugere og enheder, logge af og lukke alle forekomster af webbrowseren efter brug af webUI'et og bruge separate browsere til at administrere webUI'et og andre formål.
Blandt de andre fejl er der fokus på CVE-2024-39778, der har en score på 8,7. Det er en implementeringssvaghed i BIG-IP, der fører til, at virtuelle servere ikke længere behandler klientforbindelser, og at Traffic Management Microkernel (TMM) stopper på statsløse virtuelle servere, der er konfigureret med en høj-Speed Bridge (HSB).
Denne fejl påvirker BIG-IP versionerne 15.x, 16.x og 17.x og blev rettet med udgivelsen af version 16.1.5 og 17.1.1.
Links:
https://my.f5.com/manage/s/article/K05710614
https://www.securityweek.com/f5-patches-high-severity-vulnerabilities-in...