참고 링크:

벤더 공식문서 링크 : https://support.f5.com/csp/article/K30425568

보안 권고 설명

2022년 10월 19일, F5는 다음과 같은 보안 문제를 발표했습니다. 이 문서는 이러한 취약성과 보안 노출에 대한 개요를 제공하여 F5 장치에 대한 영향을 판단하는 데 도움을 주기 위한 것입니다. 관련 보안 권고에서 각 문제에 대한 세부 정보를 찾을 수 있습니다.

분산 클라우드 및 관리형 서비스

서비스상태
F5 분산 클라우드 서비스영향을 미치지 않거나 해결됨
실버라인영향을 미치지 않거나 해결됨
위협 스택영향을 미치지 않거나 해결됨

High CVE

보안 권고(CVE)CVSS 점수영향을 받는 제품영향을 받는 버전 1에 도입된 수정 사항
K43024307: BIG-IP iRules 취약점 CVE-2022-416247.5BIG-IP(모든 모듈)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5
13.1.0 - 13.1.5		17.0.0.1
16.1.3.2
15.1.7
14.1.5.2
13.1.5.1
K02694732: BIG-IP 고급 WAF 및 ASM bd 취약점 CVE-2022-416917.5BIG-IP(고급 WAF, ASM)14.1.514.1.5.2
K70569537: BIG-IP DNS Express 취약점 CVE-2022-417877.5BIG-IP(DNS 서비스 라이선스로 활성화된 DNS, LTM)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5
13.1.0 - 13.1.5		17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1
13.1.5.1
K00721320: BIG-IP AFM NAT64 정책 취약점 CVE-2022-418067.5빅 IP(AFM)16.1.0 - 16.1.3
15.1.0 - 15.1.5		17.0.0
16.1.3.2
15.1.5.1
K10347453: BIG-IP SIP 취약점 CVE-2022-418327.5BIG-IP(모든 모듈)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5
13.1.0 - 13.1.5		17.0.0.1
16.1.3.1
15.1.6.1
14.1.5.1
13.1.5.1
K69940053: BIG-IP iRules 취약점 CVE-2022-418337.5BIG-IP(모든 모듈)13.1.0 - 13.1.514.1.0
K47204506: BIG-IP 고급 WAF 및 ASM bd 취약점 CVE-2022-418367.5BIG-IP(고급 WAF, ASM)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.6		17.0.0.1
16.1.3.1
15.1.7
K33484483: F5OS 취약점 CVE-2022-418357.3F5OS-A1.0.0 - 1.0.11.1.0
F5OS-C1.3.0 - 1.3.21.5.0
K11830089: BIG-IP 고급 WAF 및 ASM iControl REST 취약점 CVE-2022-416177.2 - 표준 배포 모드BIG-IP(고급 WAF, ASM)16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5
13.1.0 - 13.1.5		17.0.0
16.1.3.1
15.1.6.1
14.1.5.1
13.1.5.1
9.1 - 기기 모드
K28112382: NGINX ngx_http_mp4_module 취약점 CVE-2022-417427.1NGINX 플러스R22 - R27R27 P1
R26 P1
NGINX 오픈 소스 구독R1 - R2R2 P1
R1 P1
NGINX 오픈 소스1.23.0 - 1.23.1
1.1.3 - 1.22.0		1.23.2
1.22.1
NGINX 인그레스 컨트롤러2.0.0 - 2.4.0
1.9.0 - 1.12.4		2.4.1
1.12.5
K81926432: NGINX ngx_http_mp4_module 취약점 CVE-2022-417417.0NGINX 플러스R22 - R27R27 P1
R26 P1
NGINX 오픈 소스 구독R1 - R2R2 P1
R1 P1
NGINX 오픈 소스1.23.0 - 1.23.1
1.1.3 - 1.22.0		1.23.2
1.22.1
NGINX 인그레스 컨트롤러2.0.0 - 2.4.0
1.9.0 - 1.12.4		2.4.1
1.12.5
K01112063: NGINX ngx_http_hls_module 취약점 CVE-2022-417437.0NGINX 플러스R22 - R27R27 P1
R26 P1
NGINX 인그레스 컨트롤러2.0.0 - 2.4.0
1.9.0 - 1.12.4		2.4.1
1.12.5

1 F5는 아직 수명 주기의 EoTS(기술 지원 종료) 단계에 도달하지 않은 소프트웨어 버전만 평가합니다.

Medium CVE

보안 권고(CVE)CVSS 점수영향을 받는 제품영향을 받는 버전 1에 도입된 수정 사항
K22505850: BIG-IP 및 BIG-IQ iControl REST 취약점 CVE-2022-417706.5BIG-IP(모든 모듈)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5
13.1.0 - 13.1.5		17.0.0.1
16.1.3.1
15.1.7
14.1.5.1
BIG-IQ 중앙 집중식 관리8.0.0 - 8.2.0
7.1.0		없음
K93723284: BIG-IP PEM 및 AFM TMUI, TMSH 및 iControl REST 취약점 CVE-2022-418136.5BIG-IP(AFM, PEM)16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.4
13.1.0 - 13.1.5		17.0.0
16.1.3.1
15.1.6.1
14.1.5
K81701735: F5OS CLI 취약점 CVE-2022-417805.5F5OS-A1.0.0 - 1.0.11.1.0
F5OS-C1.1.0 - 1.3.21.4.0
K52494562: BIG-IP 소프트웨어 SYN 쿠키 취약점 CVE-2022-367955.3BIG-IP(모든 모듈)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5		17.0.0.1
16.1.3.1
15.1.7
14.1.5.1
K64829234: BIG-IP 및 BIG-IQ mcpd 취약점 CVE-2022-416944.9BIG-IP(모든 모듈)16.1.0 - 16.1.2
15.1.0 - 15.1.6
14.1.0 - 14.1.4
13.1.0 - 13.1.5		17.0.0
16.1.3
15.1.6.1
14.1.5
BIG-IQ 중앙 집중식 관리8.0.0 - 8.2.0
7.1.0		8.2.0.1

1 F5는 아직 수명 주기의 EoTS(기술 지원 종료) 단계에 도달하지 않은 소프트웨어 버전만 평가합니다.

Low CVE

보안 권고(CVE)CVSS 점수영향을 받는 제품영향을 받는 버전 1에 도입된 수정 사항
K31523465: BIG-IP TMM 취약점 CVE-2022-419833.7BIG-IP(모든 모듈)16.1.0 - 16.1.3
15.1.0 - 15.1.6
14.1.0 - 14.1.5
13.1.0 - 13.1.5		17.0.0
16.1.3.1
15.1.7
14.1.5.1

1 F5는 아직 수명 주기의 EoTS(기술 지원 종료) 단계에 도달하지 않은 소프트웨어 버전만 평가합니다.

보안 노출

보안 권고(노출)영향을 받는 제품영향을 받는 버전 1에 도입된 수정 사항
K49237345: BIG-IP 고급 WAF, ASM 및 NGINX App Protect WAF XML 인코딩 보안 노출BIG-IP(고급 WAF, ASM)16.1.0 - 16.1.2
15.1.0 - 15.1.5
14.1.0 - 14.1.4
13.1.0 - 13.1.4		17.0.0
16.1.2.2
15.1.5.1
14.1.4.6
13.1.5
NGINX 앱 보호 WAF3.0.0 - 3.11.0
2.0.0 - 2.3.0		3.12.0

1 F5는 아직 수명 주기의 EoTS(기술 지원 종료) 단계에 도달하지 않은 소프트웨어 버전만 평가합니다.



2022년 10월 F5 보안취약점 New 리스트 정리

*첨부 파일 참고