S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 10 mai 2024
N° CERTFR-2024-AVI-0377
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits F5

Gestion du document

Référence CERTFR-2024-AVI-0377
Titre Multiples vulnérabilités dans les produits F5
Date de la première version10 mai 2024
Date de la dernière version10 mai 2024
Source(s) Bulletin de sécurité F5 K000139404 du 08 mai 2024
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur
  • Élévation de privilèges

Systèmes affectés

  • APM Clients versions postérieures à 7.2.3 et antérieures à 7.2.4.4
  • BIG-IP "tous les autres modules" versions 15.1.x antérieures à 15.1.5.1
  • BIG-IP "tous les autres modules" versions 16.1.x antérieures à 16.1.2.2
  • BIG-IP Advanced WAF/ASM versions 15.1.x antérieures à 15.1.10.4
  • BIG-IP Advanced WAF/ASM versions 16.1.x antérieures à 16.1.4.3
  • BIG-IP Advanced WAF/ASM versions 17.1.x antérieures à 17.1.3
  • BIG-IP AFM versions 15.1.x antérieures à 15.1.10.4
  • BIG-IP AFM versions 17.0.x antérieures à 17.1.1
  • BIG-IP AFM versions antérieures à 16.1.4
  • BIG-IP APM versions 15.1.x antérieures à 15.1.10.3
  • BIG-IP APM versions 16.1.x antérieures à 16.1.4.2
  • BIG-IP APM versions 17.1.x antérieures à 17.1.1
  • BIG-IP Next Central Manager versions 20.0.x antérieures à 20.2.0
  • BIG-IP Next CNF versions antérieures à 1.3.0
  • BIG-IP Next SPK versions antérieures à 1.7.0
  • BIG-IP Next WAF versions 20.0.x antérieures à 20.2.0
  • BIG-IP versions 15.1.x antérieures à 15.1.10.4
  • BIG-IP versions 16.1.x antérieures à 16.1.4.3
  • BIG-IP versions 17.1.x antérieures à 17.1.3
  • NGINX App Protect WAF versions antérieures à 4.8.1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits F5. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 mai 2024
    Version initiale