BDU:2020-02035
Novell Inc., Willy Terreau, Canonical Ltd., Red Hat Inc., Сообщество свободного программного обеспеч Red Hat Enterprise Linux, Astra Linux Common Edition, HAProxy, Fedora, OpenShift Container Platform,
2020-04-02
Уязвимость функции hpack_dht_insert (hpack-tbl.c) библиотеки сетевого программного обеспечения HAProxy связана с выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании или оказать воздействие на целостность данных через специально созданный HTTP/2 запрос
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для haproxy: Обновление программного обеспечения до 2.1.4 или более поздней версии
Для Debian: Обновление программного обеспечения (пакета haproxy) до 1.8.19-1+deb10u2 или более поздней версии
Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2020-04/msg00002.html
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2020-11100
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/264C7UL3X7L7QE74ZJ557IOUFS3J4QQC/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MNW5RZLIX7LOXRLV7WMHX22CI43XSXKW/
Для Ubuntu: https://usn.ubuntu.com/4321-1/
Для Astra Linux: Обновление программного обеспечения (пакета haproxy) до 1.8.19-1+deb10u3 или более поздней версии