F5 repareert twintig kwetsbaarheden in de Big IP Load Balancer, WAF en nginx

Deze keer vermeldde F5 in zijn driemaandelijkse beveiligingsadvies bijna twintig kwetsbaarheden die verborgen waren in updates van zijn Big IP- en nginx-webserverproductlijn. Het bereik van risiconiveaus loopt van 3,8 tot 8,7 CVSS-punten en dus van ‘laag’ tot ‘hoog’.

advertentie

Het ernstigste gat zit in “iControl Rest”, de automatiseringsinterface in Big-IP. Een aanvaller met beheerdersrechten kan willekeurige bash-opdrachten geven, waardoor de load balancer in gevaar komt. De bug met CVE ID 2024-22093 is zeer ernstig; De belangrijkste IP-versies 15.1.0 tot 15.1.8, 16.1.0 tot 16.1.3 en 17.1.0 zijn kwetsbaar. Versies 17.1.1, 16.1.4 en 15.1.9, verhoogd met 1, repareren de kwetsbaarheid voor het ontsnappen van code.

F5-ontwikkelaars hebben twintig andere problemen ontdekt en opgelost in onder meer “Advanced WAF” en “Advanced Firewall Manager” (AFM). de F5 websiteoverzicht Geeft productnamen en -versies weer, evenals de ernstniveaus van kwetsbaarheden.

Nginx is moe, Nginx slaapt

Naast de grote IP-load balancer is F5 sinds een jaar of vijf ook eigenaar van nginx. Er werden ook twee beveiligingsproblemen waargenomen bij de open source-webserver en zijn commerciële tegenhanger “nginx plus”, die de HTTP/3 QUIC-verwerking beïnvloedden. CVE-2024-24989 en CVE-2024-24990 zijn denial-of-service-fouten waarmee een aanvaller specifiek nginx kan laten crashen. Het verscheen voor het eerst in de open source-versie van nginx in versie 1.25.0 en werd opgelost in 1.25.4; “nginx plus” repareert bugs in R31 P1 en R30 P2.

Onlangs uitte een van de belangrijkste ontwikkelaars van de nginx-webserver zijn ontevredenheid over F5-ondersteuning en kondigde een fork aan genaamd “freenginx”. Maxim Donin zei dat hij het project wil bevrijden van bedrijfswillekeur.

(Kaku)