F5 corrige 20 vulnerabilidades en Big IP Load Balancer, WAF y nginx

Esta vez, en su aviso de seguridad trimestral, F5 enumeró casi dos docenas de vulnerabilidades ocultas en las actualizaciones de su línea de productos de servidores web Big IP y nginx. El rango de gravedad es de 3,8 a 8,7 puntos CVSS y, por tanto, de “bajo” a “alto”.

anuncio

La brecha más grave está en “iControl Rest”, la interfaz de automatización en Big-IP. Un atacante con privilegios de administrador podría emitir comandos bash arbitrarios comprometiendo así el equilibrador de carga. El error con CVE ID 2024-22093 es de gran gravedad; Las principales versiones de IP 15.1.0 a 15.1.8, 16.1.0 a 16.1.3 y 17.1.0 son vulnerables. Las versiones 17.1.1, 16.1.4 y 15.1.9 aumentadas en 1 corrigen la vulnerabilidad de escape del código.

Los desarrolladores de F5 descubrieron y solucionaron otros veinte problemas, entre otros, en “Advanced WAF” y “Advanced Firewall Manager” (AFM). el Descripción general del sitio web de F5 Enumera los nombres y versiones de los productos, así como los niveles de gravedad de las vulnerabilidades.

nginx está cansado, nginx está durmiendo

Además del gran equilibrador de carga IP, F5 también ha sido propietario de nginx durante unos cinco años. También se observaron dos problemas de seguridad en el servidor web de código abierto y su contraparte comercial “nginx plus” que afectan el procesamiento QUIC HTTP/3. CVE-2024-24989 y CVE-2024-24990 son fallas de denegación de servicio que permiten a un atacante bloquear específicamente nginx. Apareció por primera vez en la versión de código abierto de nginx en la versión 1.25.0 y se solucionó en 1.25.4; “nginx plus” corrige errores en R31 P1 y R30 P2.

Recientemente, uno de los principales desarrolladores del servidor web nginx expresó su descontento con el soporte de F5 y anunció una bifurcación llamada “freenginx”. Maxim Donin dijo que quiere liberar el proyecto de la arbitrariedad corporativa.

(Kaku)