关键漏洞信息 漏洞描述 漏洞编号: K000140986, CVE-2025-41414 影响产品: BIG-IP HTTP/2 vulnerability 发布日期: May 7, 2025 更新日期: May 7, 2025 影响 当HTTP/2客户端和服务器配置文件同时在虚拟服务器上配置时,未公开的请求可能导致流量管理微内核(TMM)终止。 这是一个仅限数据平面的问题。 安全建议状态 F5产品开发已为该漏洞分配了ID 1066457 (BIG-IP Next SPK) 和 ID 1096457-B (BIG-IP Next NMI)。 此问题被分类为CWE-476: NULL Pointer Dereference。 受影响的产品和版本 BIG-IP Next: - 所有模块: All versions known to be vulnerable. - 固定版本: Not applicable. - 严重性/CVSS分数: Not vulnerable. - 漏洞组件或功能: None. BIG-IP Next Central Manager: - 所有模块: All versions known to be vulnerable. - 固定版本: Not applicable. - 严重性/CVSS分数: Not vulnerable. - 漏洞组件或功能: None. BIG-IP Next SPK: - 2.x: Versions known to be vulnerable: 2.0.0. - 1.x: Versions known to be vulnerable: 1.8.0 - 1.9.2, 1.7.0 - 1.7.8. - 固定版本: 1.7.9. - 严重性/CVSS分数: High (8.7) (CVSS v3.1), High (8.7) (CVSS v4.0). - 漏洞组件或功能: HTTP/2 profile. BIG-IP Next CNF: - 2.x: Versions known to be vulnerable: 2.0.0. - 1.x: Versions known to be vulnerable: 1.1.0 - 1.3.3. - 固定版本: 1.4.0. - 严重性/CVSS分数: High (8.7) (CVSS v3.1), High (8.7) (CVSS v4.0). - 漏洞组件或功能: HTTP/2 profile. BIG-IP Next Kubernetes: - 所有模块: All versions known to be vulnerable. - 固定版本: Not applicable. - 严重性/CVSS分数: Not vulnerable. - 漏洞组件或功能: None. BIG-IP and BIG-IQ: - 17.x: Versions known to be vulnerable: 17.0.0 - 17.1.3. - 固定版本: 17.1.4. - 严重性/CVSS分数: High (8.7) (CVSS v3.1), High (8.7) (CVSS v4.0). - 漏洞组件或功能: Virtual server with HTTP/2 client and server profiles configured. 推荐的缓解措施 配置具有高可用性的BIG-IP系统以减轻漏洞的影响。 使用HA集群配置系统。 配置HA表以采取特定操作。