CVE-2021-22992

**Nome do software vulnerável e versões afetadas:

Versões do BIG-IP 16.0.x a 16.0.1.1

Versões do BIG-IP 15.1.x a 15.1.2.1

Versões do BIG-IP 14.1.x a 14.1.4

Versões do BIG-IP 13.1.x a 13.1.3.6

Versões do BIG-IP 12.1.x a 12.1.5.3

Versões do BIG-IP 11.6.x a 11.6.5.3

Descrição:

Uma resposta HTTP maliciosa a um servidor virtual Advanced WAF/BIG-IP ASM com a página de login configurada em sua política pode provocar um estouro de buffer, resultando em um ataque DoS. Em certas situações, isso pode permitir a execução remota de código (RCE), levando ao comprometimento total do sistema. O problema está relacionado à função is hdr criteria matches do BIG-IP Advanced Web Application Firewall (AWAF), que está associada a um estouro de buffer na memória. A exploração do problema pode permitir que um invasor remoto cause uma negação de serviço ou execute código arbitrário usando uma resposta HTTP maliciosa especialmente criada.

Recomendações:

Para as versões 16.0.x a 16.0.1.1 do BIG-IP, atualize para a versão 16.0.1.1 ou posterior.

Para as versões 15.1.x a 15.1.2.1 do BIG-IP, atualize para a versão 15.1.2.1 ou posterior.

Para as versões do BIG-IP 14.1.x a 14.1.4, atualize para a versão 14.1.4 ou posterior.

Para as versões do BIG-IP 13.1.x a 13.1.3.6, atualize para a versão 13.1.3.6 ou posterior.

Para as versões do BIG-IP 12.1.x a 12.1.5.3, atualize para a versão 12.1.5.3 ou posterior.

Para as versões do BIG-IP 11.6.x a 11.6.5.3, atualize para a versão 11.6.5.3 ou posterior.

Como solução alternativa temporária, considere desativar a função is hdr criteria matches