Nye sikkerhetsoppdateringer tar tak i betydelige sårbarheter i Big-IP og nginx

I et proaktivt tiltak for digital sikkerhet har F5 Networks nylig avdekket nesten to dusin sårbarheter som var skjult i både deres produktlinje Big-IP og webserveren nginx. Dette utvalget av sårbarheter omfattet et spekter av alvorlighetsgrader og scoret mellom 3,8 og 8,7 på Common Vulnerability Scoring System (CVSS), noe som indikerer risiko fra lav til høy.

Den mest kritiske feilen ble oppdaget i iControl Rest-grensesnittet til Big-IP, et automatiseringspunkt som kunne utnyttes. Ved administrativ tilgang kunne trusselaktører injisere bash-kommandoer for å kompromittere lastfordeleren. Versjonene 15.1.0 til 15.1.8, 16.1.0 til 16.1.3 og 17.1.0 av Big-IP var sårbare for dette høyalvorlige bruddet, identifisert som CVE-2024-22093. Imidlertid rettet påfølgende oppdaterte versjoner denne spesifikke problemstillingen. I tillegg ble omtrent tjue andre mindre problemer adressert av F5-utviklere, hovedsakelig innen Advanced WAF og Advanced Firewall Manager (AFM).

For nginx, som ble en del av F5s portefølje for omtrent fem år siden, fanget to sikkerhetsfeil oppmerksomheten da de påvirket behandlingen av HTTP/3 QUIC. Disse sårbarhetene, dokumentert som CVE-2024-24989 og CVE-2024-24990, var forbundet med risiko for tjenestenekt som kunne utnyttes til å krasje systemet. Nginx open-source miljøet anerkjente disse problemene fra og med versjon 1.25.0, som deretter ble løst i versjon 1.25.4; nginx plus-versjonene R31 P1 og R30 P2 rettet også disse sårbarhetene.

Denne oppdateringssyklusen kom midt i spenninger i nginx-teamet. Etter en periode med misnøye med F5s forvaltning av nginx, kunngjorde en av de viktigste utviklerne en forgrening (fork) av prosjektet, med mål om å frigjøre det fra det som oppfattes som bedriftens skiftende vilje. Resultatet var «freenginx», en initiativ som bekrefter det åpne samfunnets forpliktelse til å opprettholde den anerkjente fleksibiliteten og friheten til programvaren.

Spørsmål og svar:

Hva handlet de nylige sikkerhetsavsløringene fra F5 Networks om?
F5 Networks har avdekket nesten to dusin sårbarheter som påvirket deres produktlinje Big-IP og webserveren nginx. Disse sårbarhetene varierte i alvorlighetsgrad og ble identifisert som potensielle sikkerhetsrisikoer.

Hva er betydningen av sårbarheten i iControl Rest-grensesnittet?
iControl Rest-grensesnittet til Big-IP hadde en kritisk feil som, hvis utnyttet, kunne tillate trusselaktører å injisere bash-kommandoer og kompromittere lastfordeleren. Denne sårbarheten var spesielt bekymringsfull på grunn av nivået av tilgang den ga.

Hvilke versjoner av Big-IP ble påvirket av denne kritiske feilen?
Påvirkede versjoner av Big-IP inkluderte versjonene 15.1.0 til 15.1.8, 16.1.0 til 16.1.3 og 17.1.0. Oppdaterte versjoner av Big-IP har siden løst dette problemet.

Hvor alvorlige var de annonserte sårbarhetene i nginx?
To sårbarheter i nginx relatert til HTTP/3 QUIC-behandling ble identifisert. Disse ble dokumentert som CVE-2024-24989 og CVE-2024-24990, og var assosiert med risiko for tjenestenekt.

Hvordan har nginx-samfunnet respondert på de avslørte sårbarhetene?
Nginx open-source miljøet har anerkjent og håndtert disse problemene fra og med versjon 1.25.0, og løsninger kom med versjon 1.25.4 for nginx, og versjonene R31 P1 og R30 P2 for nginx plus.

Hvilke interne spenninger er rapportert innenfor nginx-utviklingsteamet?
Spenninger oppstod på grunn av misnøye med F5s forvaltning av nginx, noe som førte til at en sentral utvikler kunngjorde en forgrening av prosjektet kalt «freenginx», som søker å bevare prosjektets åpen kildekode-filosofi og autonomi.

Definisjoner:
– Common Vulnerability Scoring System (CVSS): Et standardisert rammeverk for å vurdere alvorlighetsgraden av sikkerhetssårbarheter.
– Bash: Et Unix-shell- og kommandospråk som brukes til å utføre kommandoer.
– Lastfordeler: En enhet eller programvare som distribuerer nettverks- eller applikasjonstrafikk over flere servere for å forbedre tilgjengeligheten og påliteligheten.
– CVE (Common Vulnerabilities and Exposures): En liste over offentlig kjente sårbarheter og sikkerhetsproblemer innen cybersikkerhet som er katalogisert med en unik identifikator.
– Tjenestenekt: En type cyberangrep som har som mål å gjøre en maskin eller nettverksressurs utilgjengelig for sine tiltenkte brukere.
– Fork: I programvareutvikling er det å lage en separat kopi av et prosjekt for å utvikle det uavhengig av det opprinnelige prosjektet.
– HTTP/3 QUIC: En ny transportlags nettverksprotokoll designet for å forbedre de nåværende HTTP-standardene ved å redusere tilkoblings- og transportforsinkelser.

Foreslåtte relaterte lenker:
– For informasjon om F5 Networks, besøk F5.com.
– For å lære mer om Big-IP-produkter, deres funksjoner og sikkerhetsoppdateringer, gå til BigIP.com (Merk: Denne URLen antar at BigIP.com er den offisielle portalen for Big-IP produktlinjen; bekreft URL-gyldigheten før bruk).
– For nginx og oppdateringer angående utviklingen, kan du sjekke ut NGINX.com.
– For detaljer om åpen kildekode-samfunnet og initiativer som freenginx, besøk OpenSource.org (Merk: Bekreft at dette er den offisielle nettsiden knyttet til det åpne kildekode-samfunnet).