참고 링크:

벤더 공식문서 링크 : https://support.f5.com/csp/article/K14649763#

보안 권고 설명

2022년 8월 3일 F5는 다음과 같은 보안 문제를 발표했습니다. 이 문서는 이러한 취약성과 보안 노출에 대한 개요를 제공하여 F5 장치에 대한 영향을 판단하는 데 도움을 주기 위한 것입니다. 관련 보안 권고에서 각 문제에 대한 세부 정보를 찾을 수 있습니다.

분산 클라우드 및 관리형 서비스

서비스상태
F5 분산 클라우드 서비스영향을 미치지 않거나 해결됨
실버라인영향을 미치지 않거나 해결됨
위협 스택영향을 미치지 않거나 해결됨

High CVE

보안 권고(CVE)CVSS 점수영향을 받는 제품영향을 받는 버전 1보안 패치된 버전
K11010341: 기기 모드 취약점 CVE-2022-35243의 인증된 iControl REST8.7 - 기기 모드 전용BIG-IP(모든 모듈)16.1.0 - 16.1.2
15.1.0 - 15.1.5
14.1.0 - 14.1.4
13.1.0 - 13.1.5		17.0.0
16.1.3
15.1.5.1
14.1.5
K55580033: iControl REST 취약점 CVE-2022-357288.1BIG-IP(모든 모듈)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5
13.1.0 - 13.1.5		17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1
BIG-IQ 중앙 집중식 관리8.0.0 - 8.1.0
7.0.0 - 7.1.0		8.2.0
K93504311: TMM 취약점 CVE-2022-346557.5BIG-IP(모든 모듈)16.0.0 - 16.0.1
15.1.0 - 15.1.6
14.1.0 - 14.1.4		17.0.0
16.1.0
16.0.1.1
15.1.6.1
14.1.5
K58235223: BIG-IP APM 액세스 정책 취약점 CVE-2022-352457.5빅아이피(APM)16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5		17.0.0
16.1.3.1
15.1.6.1
14.1.5.1
K28405643: BIG-IP 메시지 라우팅 MQTT 취약점 CVE-2022-352407.5BIG-IP(모든 모듈)16.1.0 - 16.1.2
15.1.0 - 15.1.6
14.1.0 - 14.1.4		17.0.0
16.1.2.2
15.1.6.1
14.1.5
K79933541: HTTP2 프로필 취약점 CVE-2022-352367.5BIG-IP(모든 모듈)16.1.0 - 16.1.2
15.1.0 - 15.1.6
14.1.0 - 14.1.4		17.0.0
16.1.2.2
15.1.6.1
14.1.5
K59197053: BIG-IP TLS1.3 iRule 취약점 CVE-2022-346517.5BIG-IP(모든 모듈)16.1.0 - 16.1.3
15.1.0 - 15.1.6		17.0.0
16.1.3.1
15.1.6.1
K16852653: TMM 취약점 CVE-2022-324557.5BIG-IP(모든 모듈)16.1.0 - 16.1.2
15.1.0 - 15.1.6
14.1.0 - 14.1.4
13.1.0 - 13.1.5		17.0.0
16.1.2.2
15.1.6.1
14.1.5
K66510514: TMM 취약점 CVE-2022-348627.5BIG-IP(모든 모듈)16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.4
13.1.0 - 13.1.5		17.0.0
16.1.3.1
15.1.6.1
14.1.5
K52534925: BIG-IP APM 및 SSL Orchestrator 취약점 CVE-2022-332037.5BIG-IP(APM 및 SSL Orchestrator)16.1.0 - 16.1.2
15.1.0 - 15.1.6
14.1.0 - 14.1.4		17.0.0
16.1.3
15.1.6.1
14.1.5
K90024104: BIG-IP HTTP MRF 취약점 CVE-2022-352727.5BIG-IP(모든 모듈)17.0.0
16.1.0 - 16.1.3		17.0.0.1
16.1.3.1
K13213418: BIG-IP 모니터 구성 취약성 CVE-2022-357357.2BIG-IP(모든 모듈)16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5
13.1.0 - 13.1.5		17.0.0
16.1.3.1
15.1.6.1
14.1.5.1

1 F5는 아직 수명 주기의 EoTS(기술 지원 종료) 단계에 도달하지 않은 소프트웨어 버전만 평가합니다.

Medium CVE

보안 권고(CVE)CVSS 점수영향을 받는 제품영향을 받는 버전 1보안 패치된 버전

K34893234: BIG-IP APM 어플라이언스 모드 취약성 CVE-2022-314736.8 - 기기 모드 전용빅아이피(APM)16.1.0
15.1.0 - 15.1.3		17.0.0
16.1.1
15.1.4
K80970653: BIG-IP iRules 취약점 CVE-2022-339626.7BIG-IP(모든 모듈)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5
13.1.0 - 13.1.5		17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1
K37080719: NGINX 인스턴스 관리자 취약점 CVE-2022-352416.5NGINX 인스턴스 관리자2.0.0 - 2.3.0
1.0.0 - 1.0.4		2.3.1
K52125139: NGINX 인그레스 컨트롤러 취약점 CVE-2022-305356.5NGINX 인그레스 컨트롤러2.0.0 - 2.2.0
1.0.0 - 1.12.4		2.3.0
K34511555: BIG-IP AWS 취약점 CVE-2022-348445.9BIG-IP(모든 모듈)16.1.0 - 16.1.3
15.1.0 - 15.1.6
 		17.0.0
16.1.3.1
15.1.6.1
BIG-IQ 중앙 집중식 관리8.0.0 - 8.2.0없음
K38893457: BIG-IP DNS TMUI 취약점 CVE-2022-339475.4빅아이피(DNS)16.0.0 - 16.1.2
15.1.0 - 15.1.6
14.1.0 - 14.1.4
13.1.0 - 13.1.5		17.0.0
16.1.3
15.1.6.1
14.1.5
K25046752: 트래픽 인텔리전스 피드 취약점 CVE-2022-348654.8BIG-IP(모든 모듈)15.1.0 - 15.1.6
14.1.0 - 14.1.4
13.1.0 - 13.1.5		16.1.0
15.1.6.1
14.1.5
K50310001: BIG-IP 및 BIG-IQ iControl SOAP 취약점 CVE-2022-348514.3BIG-IP(모든 모듈)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5
13.1.0 - 13.1.5		17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1
BIG-IQ 중앙 집중식 관리8.0.0 - 8.2.0없음

1 F5는 아직 수명 주기의 EoTS(기술 지원 종료) 단계에 도달하지 않은 소프트웨어 버전만 평가합니다.

Low CVE

보안 권고(CVE)CVSS 점수영향을 받는 제품영향을 받는 버전 1보안 패치된 버전

K23465404: BIG-IP LTM 및 APM NTLM 취약점 CVE-2022-339683.7BIG-IP(모든 모듈)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5
13.1.0 - 13.1.5		17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1

1 F5는 아직 수명 주기의 EoTS(기술 지원 종료) 단계에 도달하지 않은 소프트웨어 버전만 평가합니다.

보안 노출

보안 권고(노출)영향을 받는 제품영향을 받는 버전 1보안 패치된 버전

K22251611: 공격 서명 확인 보안 노출BIG-IP(ASM/AWAF)16.1.0 - 16.1.2
15.1.0 - 15.1.6
14.1.0 - 14.1.4
13.1.0 - 13.1.5		17.0.0
16.1.2.2
15.1.6.1
14.1.5

1 F5는 아직 수명 주기의 EoTS(기술 지원 종료) 단계에 도달하지 않은 소프트웨어 버전만 평가합니다.


2022년 08월 F5 보안취약점 New 리스트 정리

*첨부 파일 참고