漏洞风险提示 | HAProxy 越界内存写入漏洞(CVE-2020-11100)
HAProxy 越界内存写入漏洞
(CVE-2020-11100)
4 月 2 日,HAProxy 官方发布安全博客,声明对其在处理 HTTP/2 请求时存在的越界内存写入漏洞 CVE-2020-11100 进行了修复:
https://www.haproxy.com/blog/haproxy-1-8-http-2-hpack-decoder-vulnerability-fixed/
漏洞描述
HAProxy 是用于高可用性环境的 TCP/HTTP 反向代理,它通常部署在应用程序服务器群集的前面,并将传入的请求进行分发,从而提高性能和可用性。与网站一起部署时,HAProxy 可以选择使用 HTTP/2 协议来更有效地利用网络资源。
影响范围
以下 HAProxy 版本受到漏洞影响:
• HAProxy 1.8.0 – 1.8.24
• HAProxy Enterprise 1.8r1 1.0.0-186.251 – 193.716
• HAProxy Enterprise 1.8r2 2.0.0-190.714 – 205.1000
• ALOHA 10.0.0 – 10.0.14
• ALOHA 10.5.0 – 10.5.12
• HAProxy 1.9.0 – 1.9.14
• HAProxy Enterprise 1.9r1 1.0.0-197.290 – 208.876
• HAProxy ALOHA 11.0.0 – 11.0.7
• HAProxy 2.0.0 – 2.0.13
• HAProxy Enterprise 2.0r1 1.0.0-204.260 – 219.645
• HAProxy ALOHA 11.5.0 – 11.5.3
• HAProxy 2.1.0 – 2.1.3
• HAProxy Enterprise 2.1r1 1.0.0-217.0 – 221.38
解决方案
更新 HAProxy 到以下漏洞修复后的版本:
• HAProxy 1.8.25+
• HAProxy Enterprise 1.8r2 2.0.0-205.1048+
• ALOHA 10.5.13+
• HAProxy 1.9.15+
• HAProxy Enterprise 1.9r1 1.0.0-213.948+
• HAProxy ALOHA 11.0.8+
• HAProxy 2.0.14+
• HAProxy Enterprise 2.0r1 1.0.0-220.698+
• HAProxy ALOHA 11.5.4+
• HAProxy 2.1.4+
• HAProxy Enterprise 2.1r1 1.0.0-221.93+
临时缓解方案及更多信息可以参考:
https://www.haproxy.com/blog/haproxy-1-8-http-2-hpack-decoder-vulnerability-fixed/#affected-versions-remediation
参考资料
https://access.redhat.com/security/vulnerabilities/haproxy
https://www.haproxy.com/blog/haproxy-1-8-http-2-hpack-decoder-vulnerability-fixed/
长 亭 应 急 响 应 服 务
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否受到此次漏洞影响
请联系长亭应急团队
7*24小时,守护您的安全!
第一时间找到我们: