【漏洞详情】
HAProxy 是一款开源且免费的反向代理软件,近日,平安云安全中心监测到HAProxy 官方发布公告,其 HTTP/2 HPACK 解码器存在内存越界写入漏洞(CVE-2020-11100),通过发送恶意构造的 HTTP/2 请求,可导致 HAProxy 程序崩溃或远程代码执行攻击。
【风险评级】
高危
【影响范围】
如下版本存在安全漏洞:
l HAProxy 1.8.0 – 1.8.24
l HAProxy Enterprise 1.8r1 1.0.0-186.251 – 193.716 HAProxy Enterprise 1.8r2 2.0.0-190.714 – 205.1000
l ALOHA 10.0.0 – 10.0.14
l ALOHA 10.5.0 – 10.5.12
l HAProxy 1.9.0 – 1.9.14
l HAProxy Enterprise 1.9r1 1.0.0-197.290 – 208.876
l HAProxy ALOHA 11.0.0 – 11.0.7
l HAProxy 2.0.0 – 2.0.13
l HAProxy Enterprise 2.0r1 1.0.0-204.260 – 219.645
l HAProxy ALOHA 11.5.0 – 11.5.3
l HAProxy 2.1.0 – 2.1.3
l HAProxy Enterprise 2.1r1 1.0.0-217.0 – 221.38
【修复建议】
HAProxy官方已发布新版本修复该漏洞,建议用户依据实际业务评估漏洞风险影响,可通过升级至安全版本避免安全风险。
已修复的安全版本如下:
l HAProxy 1.8.25+
l HAProxy Enterprise 1.8r2 2.0.0-205.1048+
l ALOHA 10.5.13+
l HAProxy 1.9.15+
l HAProxy Enterprise 1.9r1 1.0.0-213.948+
l HAProxy ALOHA 11.0.8+
l HAProxy 2.0.14+
l HAProxy Enterprise 2.0r1 1.0.0-220.698+
l HAProxy ALOHA 11.5.4+
l HAProxy 2.1.4+
l HAProxy Enterprise 2.1r1 1.0.0-221.93+
【参考链接】
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2020年4月8日