bencede
New member
Ekim ayında F5, BIG-IP ürünlerinde çok sayıda güvenlik açığı bildirdi. Yalnızca on rapor yüksek riskli güvenlik açıklarıyla ilgilidir; bunlardan biri kritik bile olabilir, diğer altısı ise orta önemdeki güvenlik açıklarıyla ilgilidir.
Duyuru
En ciddi eksiklik BIG-IP yapılandırma aracıyla ilgilidir. Dizin geçiş güvenlik açığı, kayıtlı saldırganların BIG-IP sisteminde komutları yürütmesine olanak tanır. BIG-IP sistemi cihaz modunda çalışıyorsa güvenlik önlemleri de atlanabilir (CVE-2023-41737, CVSS 9.9 cihaz modunda risk”eleştirmen“; CVSS 8.8“yüksek“, standart modda).
F5 BIG-IP: Savunmasız cihaz modu
BIG-IP sistemlerinin cihaz modunda bile, yönetici rolüyle oturum açan kullanıcılar cihaz modu kısıtlamalarını atlayabilir (CVE-2023-43746, CVSS) 8.7, yüksek). Kayıtlı kullanıcıların oturum çerezleri, Viprion platformundan çıkış yaptıktan sonra belirli bir süre boyunca geçerli kaldığından, saldırganlar önceden kimlik doğrulaması yapmadan keyfi komutlar yürütebilir, dosya oluşturabilir veya silebilir veya yönetim portuna ve IP’ye erişimi olan hizmetleri devre dışı bırakabilir ( CVE- 2023-40537, CVSS 8.1, yüksek).
F5 BIG-IP sistemlerine sahip BT yöneticileri, üreticinin güvenlik bildirimlerini kontrol etmeli ve gerekirse mevcut güncellemeleri hızlı bir şekilde uygulamalıdır. Üretici, boşlukları, bunların ciddiyetini, etkilenen ürün ve sürümlerin yanı sıra hata giderilen sürümlerin durumlarını bir F5 web sitesinde açıkça listeliyor.
Ağustos ayında F5, BIG-IP ürünlerindeki güvenlik açıklarına ilişkin altı güvenlik tavsiyesi yayınladı. Bu, saldırganların şifreleri tahmin etmesine olanak sağladı.
(Bilmiyorum)
Haberin Sonu
Duyuru
En ciddi eksiklik BIG-IP yapılandırma aracıyla ilgilidir. Dizin geçiş güvenlik açığı, kayıtlı saldırganların BIG-IP sisteminde komutları yürütmesine olanak tanır. BIG-IP sistemi cihaz modunda çalışıyorsa güvenlik önlemleri de atlanabilir (CVE-2023-41737, CVSS 9.9 cihaz modunda risk”eleştirmen“; CVSS 8.8“yüksek“, standart modda).
F5 BIG-IP: Savunmasız cihaz modu
BIG-IP sistemlerinin cihaz modunda bile, yönetici rolüyle oturum açan kullanıcılar cihaz modu kısıtlamalarını atlayabilir (CVE-2023-43746, CVSS) 8.7, yüksek). Kayıtlı kullanıcıların oturum çerezleri, Viprion platformundan çıkış yaptıktan sonra belirli bir süre boyunca geçerli kaldığından, saldırganlar önceden kimlik doğrulaması yapmadan keyfi komutlar yürütebilir, dosya oluşturabilir veya silebilir veya yönetim portuna ve IP’ye erişimi olan hizmetleri devre dışı bırakabilir ( CVE- 2023-40537, CVSS 8.1, yüksek).
F5 BIG-IP sistemlerine sahip BT yöneticileri, üreticinin güvenlik bildirimlerini kontrol etmeli ve gerekirse mevcut güncellemeleri hızlı bir şekilde uygulamalıdır. Üretici, boşlukları, bunların ciddiyetini, etkilenen ürün ve sürümlerin yanı sıra hata giderilen sürümlerin durumlarını bir F5 web sitesinde açıkça listeliyor.
Ağustos ayında F5, BIG-IP ürünlerindeki güvenlik açıklarına ilişkin altı güvenlik tavsiyesi yayınladı. Bu, saldırganların şifreleri tahmin etmesine olanak sağladı.
(Bilmiyorum)
Haberin Sonu