BDU:2020-02041
Willy Terreau, Canonical Ltd., Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ру Red Hat Enterprise Linux, Astra Linux Common Edition, HAProxy, OpenShift Container Platform, Red Hat
2019-11-27
Уязвимость серверного программного обеспечения HAProxy связана с неправильным выполнением очистки HTTP-заголовков при преобразовании из HTTP/2 в HTTP/1. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для HAProxy: Обновление программного обеспечения до 2.0.10 или более поздней версии
Для Debian GNU/Linux: Обновление программного обеспечения (пакета haproxy) до 1.8.19-1+deb10u1 или более поздней версии
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-19330
Для Ubuntu: https://usn.ubuntu.com/4212-1/
Для Astra Linux: Обновление программного обеспечения (пакета haproxy) до 1.8.19-1+deb10u3 или более поздней версии