Bulletin d'alerte Debian

DSA-4577-1 haproxy -- Mise à jour de sécurité

Date du rapport :
28 novembre 2019
Paquets concernés :
haproxy
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-19330.
Plus de précisions :

Tim Düsterhus a découvert que haproxy, un mandataire inverse TCP/HTTP, ne vérifiait pas correctement les en-têtes HTTP lors des conversions de HTTP/2 à HTTP/1. Cela pourrait permettre à un utilisateur distant de réaliser des injections de fin de ligne (CRLF).

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1.8.19-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets haproxy.

Pour disposer d'un état détaillé sur la sécurité de haproxy, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/haproxy.