개요
F5 제품의 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전의 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-39809
- BIG-IP Next Central Manager 버전: 20.1.0
CVE-2024-39792
- NGINX Plus 버전: R30(포함) ~ R32(포함)
CVE-2024-41164
- BIG-IP Next SPK 버전: 1.7.0(포함) ~ 1.8.2(포함)
- BIG-IP Next CNF 버전: 1.1.0(포함) ~ 1.1.1(포함)
- BIG-IP (all modules) 버전: 17.1.0
- BIG-IP (all modules) 버전: 16.1.0(포함) ~ 16.1.4(포함)
- BIG-IP (all modules) 버전: 15.1.0(포함) ~ 15.1.9(포함)
해결된 취약점
사용자의 세션 쿠키를 얻을 수 있는 액세스 권한이 있는 공격자는 해당 사용자가 로그아웃한 후에도 해당 세션을 사용하여 BIG-IP Next Central Manager와 BIG-IP Next Central Manager가 관리하는 시스템에 계속 액세스할 수 있는 취약점(CVE-2024-39809)
NGINX 마스터 및 워커 프로세스가 강제로 다시 시작되거나 수동으로 다시 시작될 때까지 시스템 성능이 저하될 수 있어 공격자가 NGINX의 서비스거부(DoS)로 이어질 수 있는 서비스 저하를 일으킬 수 있도록 하는 취약점(CVE-2024-39792)
가상 서버에서 멀티패스 TCP가 활성화된 TCP 프로필(MPTCP)이 구성된 경우, 공격자의 통제를 벗어난 조건과 함께 공개되지 않은 트래픽으로 인해 TMM이 종료될 수 있는 취약점(CVE-2024-41164)
취약점 패치
최신 업데이트를 통해 제품별 취약점 패치가 다음과 같이 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-39809
- BIG-IP Next Central Manager 버전: 20.2.0
CVE-2024-39792
- NGINX Plus 버전: R32 P1
- NGINX Plus 버전: R31 P3
CVE-2024-41164
- BIG-IP Next SPK 버전: 1.9.0
- BIG-IP Next CNF 버전: 1.2.0
- BIG-IP (all modules) 버전: 17.1.1
- BIG-IP (all modules) 버전: 16.1.5
- BIG-IP (all modules) 버전: 15.1.10
참고사이트
[1] K000140111: BIG-IP Next Central Manager vulnerability CVE-2024-39809
https://my.f5.com/manage/s/article/K000140111
[2] K000140108: NGINX Plus MQTT vulnerability CVE-2024-39792
https://my.f5.com/manage/s/article/K000140108
[3] K000138477: BIG-IP MPTCP vulnerability CVE-2024-41164