Objet: Multiples vulnérabilités dans les produits F5

Risque(s)

• Non spécifié par l'éditeur
• Exécution de code arbitraire à distance
• Déni de service à distance
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Élévation de privilèges
• Injection de code indirecte à distance (XSS)

Systèmes affectés

• BIG-IP versions 17.1.x antérieures à 17.1.3
• BIG-IP versions 16.1.x antérieures à 16.1.4.3
• BIG-IP versions 15.1.x antérieures à 15.1.10.4
• BIG-IP Next Central Manager versions 20.0.x antérieures à 20.2.0
• BIG-IP Next WAF versions 20.0.x antérieures à 20.2.0
• BIG-IP AFM versions 15.1.x antérieures à 15.1.10.4
• BIG-IP AFM versions 17.0.x antérieures à 17.1.1
• BIG-IP AFM versions antérieures à 16.1.4
• BIG-IP Next CNF versions antérieures à 1.3.0
• BIG-IP APM versions 17.1.x antérieures à 17.1.1
• BIG-IP APM versions 16.1.x antérieures à 16.1.4.2
• BIG-IP APM versions 15.1.x antérieures à 15.1.10.3
• BIG-IP Next SPK versions antérieures à 1.7.0
• BIG-IP Advanced WAF/ASM versions 17.1.x antérieures à 17.1.3
• BIG-IP Advanced WAF/ASM versions 16.1.x antérieures à 16.1.4.3
• BIG-IP Advanced WAF/ASM versions 15.1.x antérieures à 15.1.10.4
• BIG-IP "tous les autres modules" versions 16.1.x antérieures à 16.1.2.2
• BIG-IP "tous les autres modules" versions 15.1.x antérieures à 15.1.5.1
• APM Clients versions postérieures à 7.2.3 et antérieures à 7.2.4.4
• NGINX App Protect WAF versions antérieures à 4.8.1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits F5. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité F5 K000139404 du 08 mai 2024
  https://my.f5.com/manage/s/article/K000139404
• Référence CVE CVE-2024-31156
  https://www.cve.org/CVERecord?id=CVE-2024-31156
• Référence CVE CVE-2024-21793
  https://www.cve.org/CVERecord?id=CVE-2024-21793
• Référence CVE CVE-2024-26026
  https://www.cve.org/CVERecord?id=CVE-2024-26026
• Référence CVE CVE-2024-33608
  https://www.cve.org/CVERecord?id=CVE-2024-33608
• Référence CVE CVE-2024-25560
  https://www.cve.org/CVERecord?id=CVE-2024-25560
• Référence CVE CVE-2024-32049
  https://www.cve.org/CVERecord?id=CVE-2024-32049
• Référence CVE CVE-2024-28883
  https://www.cve.org/CVERecord?id=CVE-2024-28883
• Référence CVE CVE-2024-33612
  https://www.cve.org/CVERecord?id=CVE-2024-33612
• Référence CVE CVE-2024-32761
  https://www.cve.org/CVERecord?id=CVE-2024-32761
• Référence CVE CVE-2024-33604
  https://www.cve.org/CVERecord?id=CVE-2024-33604
• Référence CVE CVE-2024-28889
  https://www.cve.org/CVERecord?id=CVE-2024-28889
• Référence CVE CVE-2024-27202
  https://www.cve.org/CVERecord?id=CVE-2024-27202
• Référence CVE CVE-2024-28132
  https://www.cve.org/CVERecord?id=CVE-2024-28132