vlambda博客
学习文章列表

HAProxy 内存越界写入漏洞通告



漏洞名称




HAProxy 内存越界写入漏洞


漏洞编号




CVE-2020-11100


漏洞等级




漏洞描述

2020年04月06日, HAProxy 官方发布了针对其 HTTP/2 HPACK 解码器中存在的一个严重漏洞的修复公告。该漏洞由 Google Project Zero 团队的 @Felix Wilhelm 发现,该漏洞会导致内存的越界写入,从而导致服务崩溃或代码执行。 
HAProxy 是一个使用C语言编写的开源软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。互联网中大量的网络服务系统都使用了HAProxy。同时 HAProxy 可以选择使用 HTTP/2 协议来更有效地利用网络资源。

影响范围


  • HAProxy 1.8.0 – 1.8.24

  • HAProxy Enterprise 1.8r1 1.0.0-186.251 – 193.716

  • HAProxy Enterprise 1.8r2 2.0.0-190.714 – 205.1000

  • ALOHA 10.0.0 – 10.0.14

  • ALOHA 10.5.0 – 10.5.12

  • HAProxy 1.9.0 – 1.9.14

  • HAProxy Enterprise 1.9r1 1.0.0-197.290 – 208.876

  • HAProxy ALOHA 11.0.0 – 11.0.7

  • HAProxy 2.0.0 – 2.0.13

  • HAProxy Enterprise 2.0r1 1.0.0-204.260 – 219.645

  • HAProxy ALOHA 11.5.0 – 11.5.3

  • HAProxy 2.1.0 – 2.1.3

  • HAProxy Enterprise 2.1r1 1.0.0-217.0 – 221.38

修复措施


更新 HAProxy 到以下版本:

  • HAProxy 1.8.25+

  • HAProxy Enterprise 1.8r2 2.0.0-205.1048+

  • ALOHA 10.5.13+

  • HAProxy 1.9.15+

  • HAProxy Enterprise 1.9r1 1.0.0-213.948+

  • HAProxy ALOHA 11.0.8+

  • HAProxy 2.0.14+

  • HAProxy Enterprise 2.0r1 1.0.0-220.698+

  • HAProxy ALOHA 11.5.4+

  • HAProxy 2.1.4+

  • HAProxy Enterprise 2.1r1 1.0.0-221.93+

情报来源


https://cert.360.cn/warning/detail?id=9907acb1d05db5d53762d4d02781937b


HAProxy 内存越界写入漏洞通告
HAProxy 内存越界写入漏洞通告
HAProxy 内存越界写入漏洞通告
HAProxy 内存越界写入漏洞通告


推荐阅读

[5.05] 暗喻幻想港中35周年限定版1.03+DLC+金手指+王中王存档 [5.05] 暗喻幻想港中35周年限定版1.03+DLC+金手指+王中王存档
我的后台Java面经(阿里、腾讯、头条、京东、IBM等) 我的后台Java面经(阿里、腾讯、头条、京东、IBM等)

相关文章