Patchday: F5 dichtet Schwachstellen in BIG IP und Nginx ab

Zum Patchday im August liefert der Netzwerkspezialist F5 Fehlerbehebungen zu 21 Schwachstellen aus. Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt, dass angemeldete Angreifer durch einige der Lücken etwa die Kontrolle über verwundbare Systeme übernehmen könnten. IT-Verwalter von BIG-IP- und Nginx-Systemen sollten aktiv werden und die Aktualisierungen installieren.

Zahlreiche Lecks

Insgesamt listet F5 zwölf Sicherheitslücken mit einer Risiko-Einstufung als "hoch" auf. Sie betreffen allesamt die BIG-IP-Systeme des Unternehmens und die zentrale Verwaltungssoftware BIG-IQ. Angreifer mit Zugriffsrechten könnten dadurch Systeme übernehmen oder unangemeldete bösartige Akteure Denial-of-Service-Lücken zum Lahmlegen missbrauchen.

Weitere acht Schwachstellen in BIG-IP, BIG-IQ und Nginx stuft der Hersteller als mittlere Bedrohung ein. Zudem geht ein lediglich niedriges Risiko von einer Lücke in BIG-IP aus, durch die Angreifer mit privilegiertem Serverzugriff Daten auslesen könnten.

Die Sicherheitslücken betreffen folgende Programmversionen:

BIG-IP 17.0.0, 16.1.0 - 16.1.3, 15.1.0 - 15.1.6, 14.1.0 - 14.1.5, 13.1.0 - 13.1.5
BIG-IQ 8.0.0 - 8.1.0, 7.0.0 - 7.1.0
Ngnix Instance Manager 2.0.0 - 2.3.0, 1.0.0 - 1.0.4
Nginx Ingress Controller 2.0.0 - 2.2.0, 1.0.0 - 1.12.4

Zahlreiche Unterversionen erhalten eigene Aktualisierungen zum Beheben der Fehler. Allerdings erhalten etwa BIG-IP 13 und ältere Fassungen kein Update. Hier müssen Administratoren auf einen neueren Software-Zweig migrieren. Zwei DoS-Lücken mittleren Schweregrads in BIG-IQ 8.0.0 bis 8.2.0 bleiben laut der Sicherheitsmeldung von F5 derweil ohne Korrektur.

Da Cyberkriminelle Schwachstellen in F5-Systemen regelmäßig umgehend ins Visier nehmen, sollten IT-Verantwortliche die bereitstehenden Aktualisierungen rasch herunterladen und installieren.

(dmk)