最热产品
最新产品
推荐服务
计算
备份
网络和CDN
存储
数据库
安全
大数据计算
大数据搜索与分析
大数据应用
大数据解决方案
域名与网站
物联网
通讯
办公
智能管理
汽车服务
管理与监控
IT管理
互联网中间件
企业服务解决方案
混合云解决方案
大数据解决方案
AI解决方案
私有云解决方案
安全解决方案
金融解决方案
智慧城市解决方案
医疗解决方案
【漏洞详情】
HAProxy 是一款开源且免费的反向代理软件,近日,平安云安全中心监测到HAProxy 官方发布公告,其 HTTP/2 HPACK 解码器存在内存越界写入漏洞(CVE-2020-11100),通过发送恶意构造的 HTTP/2 请求,可导致 HAProxy 程序崩溃或远程代码执行攻击。
【风险评级】
高危
【影响范围】
如下版本存在安全漏洞:
l HAProxy 1.8.0 – 1.8.24
l HAProxy Enterprise 1.8r1 1.0.0-186.251 – 193.716 HAProxy Enterprise 1.8r2 2.0.0-190.714 – 205.1000
l ALOHA 10.0.0 – 10.0.14
l ALOHA 10.5.0 – 10.5.12
l HAProxy 1.9.0 – 1.9.14
l HAProxy Enterprise 1.9r1 1.0.0-197.290 – 208.876
l HAProxy ALOHA 11.0.0 – 11.0.7
l HAProxy 2.0.0 – 2.0.13
l HAProxy Enterprise 2.0r1 1.0.0-204.260 – 219.645
l HAProxy ALOHA 11.5.0 – 11.5.3
l HAProxy 2.1.0 – 2.1.3
l HAProxy Enterprise 2.1r1 1.0.0-217.0 – 221.38
【修复建议】
HAProxy官方已发布新版本修复该漏洞,建议用户依据实际业务评估漏洞风险影响,可通过升级至安全版本避免安全风险。
已修复的安全版本如下:
l HAProxy 1.8.25+
l HAProxy Enterprise 1.8r2 2.0.0-205.1048+
l ALOHA 10.5.13+
l HAProxy 1.9.15+
l HAProxy Enterprise 1.9r1 1.0.0-213.948+
l HAProxy ALOHA 11.0.8+
l HAProxy 2.0.14+
l HAProxy Enterprise 2.0r1 1.0.0-220.698+
l HAProxy ALOHA 11.5.4+
l HAProxy 2.1.4+
l HAProxy Enterprise 2.1r1 1.0.0-221.93+
【参考链接】
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2020年4月8日
