Vulnérabilités dans plusieurs produits F5

CVE-2021-23008 [Score CVSS v3 : 9.8] 

L'authentification à l’Active Directory (AD) de BIG-IP APM peut être contournée par une réponse du service d’authentification Kerberos (AS-REP) usurpée, envoyée par une connexion KDC (Kerberos Key Distribution Center) détournée ou par un serveur AD compromis par un attaquant. Un attaquant distant et non authentifié peut détourner une connexion KDC en utilisant une réponse AS-REP falsifiée.

CVE-2021-23009 [Score CVSS v3 : 7.5] 

Les requêtes HTTP/2 malformées peuvent provoquer une boucle infinie qui entraîne un déni de service pour le trafic du plan de données. Cette faille peut être exploitée par un attaquant distant et non authentifié.

CVE-2021-23010 [Score CVSS v3 : 7.5] 

Une vulnérabilité dans le traitement des requêtes WebSocket avec des charges utiles JSON (en utilisant le profil de contenu JSON par défaut dans la politique de sécurité ASM) a été corrigée au sein des systèmes BIG-IP ASM/Advanced WAF. Un attaquant distant et non-authentifié peut faire produire au processus bd de BIG-IP ASM un fichier “central”, ce qui perturberait le trafic réseau et créerait un déni de service.

CVE-2021-23015 [Score CVSS v3 : 7.2] 

Une vulnérabilité dans le logiciel BIG-IP lorsqu’il fonctionne en mode Appliance a été corrigée. Un attaquant distant et authentifié en tant qu’administrateur peut contourner les restrictions du mode Appliance en utilisant des points d'accès REST d'iControl non divulgués.