F5 behebt 20 SicherheitslĂĽcken in Big-IP-Loadbalancer, WAF und nginx

Unter anderem konnten Angreifer eigenen Code in den Loadbalancer einschmuggeln, nginx hingegen verschluckte sich an HTTP3/QUIC-Anfragen.

In Pocket speichern vorlesen Druckansicht

(Bild: Sashkin/Shutterstock.com)

Lesezeit: 2 Min.

In seinen vierteljährlichen Sicherheitshinweisen hat F5 dieses Mal fast zwei Dutzend Sicherheitslücken aufgelistet, die in Updates für die Big-IP-Produktserie und den Webserver nginx versteckt waren. Die Spanne der Schweregrade reicht dabei von 3,8 bis 8,7 CVSS-Punkten und somit von "niedrig" bis "hoch".

Am schwersten wiegt eine Lücke in "iControl Rest", der Automatisierungsschnittstelle in Big-IP. Ein Angreifer mit Admin-Privilegien kann beliebige bash-Befehle absetzen und so den Loadbalancer komprommitieren. Der Fehler mit CVE-ID 2024-22093 hat einen hohen Schweregrad; angreifbar sind Big-IP-Versionen 15.1.0 bis 15.1.8, 16.1.0 bis 16.1.3 und 17.1.0. Die um 1 hochgezählten Versionen 17.1.1, 16.1.4 und 15.1.9 beheben die Codeschmuggel-Schwachstelle.

Weitere knapp zwanzig Probleme haben die F5-Entwickler unter Anderem in der "Advanced WAF" sowie dem "Advanced Firewall Manager" (AFM) entdeckt und behoben. Die Ăśbersicht auf der F5-Website listet Produktnamen und -versionen sowie die Schweregrade der LĂĽcken auf.

Neben dem Big-IP-Loadbalancer ist F5 seit knapp fünf Jahren auch Eigentümer von nginx. Auch in dem Opensource-Webserver und seinem kommerziellen Pendant "nginx plus" sind zwei Sicherheitsprobleme aufgefallen, die die Verarbeitung von HTTP/3 QUIC betreffen. Sowohl CVE-2024-24989 als auch CVE-2024-24990 sind Denial-of-Service-Fehler, die einem Angreifer ermöglichen, nginx gezielt zum Absturz zu bringen. Sie sind in der Opensource-Variante von nginx in Version 1.25.0 erstmalig aufgetaucht und in 1.25.4 behoben; "nginx plus" behebt die Fehler in Version R31 P1 und R30 P2.

Erst kürzlich hat einer der Hauptentwickler des nginx-Webservers seine Unzufriedenheit mit der Betreuung durch F5 geäußert und einen Fork namens "freenginx" angekündigt. Er wolle das Projekt von der Willkür des Konzerns befreien, so Maxim Dounin über seine Beweggründe.

(cku)