Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

  • F5 BIG-IP (tous modules) versions 17.x antérieures à 17.0.0
  • F5 BIG-IP (tous modules) versions 16.x antérieures à 16.1.2.2
  • F5 BIG-IP (tous modules) versions 15.x antérieures à 15.1.5.1
  • F5 BIG-IP (tous modules) versions antérieures à 14.1.4.6
  • NGINX App Protect versions antérieures à 3.7.0

Concernant la vulnérabilité critique, immatriculée CVE-2022-1388, l'éditeur propose un correctif de sécurité pour les produits F5 BIG-IP en versions 13.x. Cependant il est très fortement recommandé pour toutes les versions 11.x, 12.x et 13.x de migrer au moins vers la version 14.1.4.6 afin de pouvoir bénéficier de l'intégralité des correctifs de sécurité.

Résumé

De multiples vulnérabilités ont été découvertes dans les produits F5. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation