GLSA 202004-01: HAProxy: Remote execution of arbitrary code

http://security.gentoo.org/

Опасность:	высокая
Заголовок:	HAProxy: Remote execution of arbitrary code
Дата:	01.04.2020
Ошибки:	#701842
ID:	202004-01

Сводка

A vulnerability in HAProxy might lead to remote execution of arbitrary code.

Назначение

HAProxy is a TCP/HTTP reverse proxy for high availability environments.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
net-proxy/haproxy	< 2.0.10	>= 1.8.23	All supported architectures

Описание

It was discovered that HAProxy incorrectly handled certain HTTP/2 headers.

Воздействие

A remote attacker could send a specially crafted HTTP/2 header, possibly resulting in execution of arbitrary code with the privileges of the process or a Denial of Service condition.

Обход

There is no known workaround at this time.

Решение

All HAProxy 1.8.x users should upgrade to the latest version:

      # emerge --sync
      # emerge --ask --oneshot --verbose ">=net-proxy/haproxy-1.8.23"

All HAProxy 1.9.x users should upgrade to the latest version:


      # emerge --sync
      # emerge --ask --oneshot --verbose ">=net-proxy/haproxy-1.9.13"

All HAProxy 2.0.x users should upgrade to the latest version:


      # emerge --sync
      # emerge --ask --oneshot --verbose ">=net-proxy/haproxy-2.0.10"

Ссылки

CVE-2019-19330

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-202004-01.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.