Informations de sécurité / 2020 / Informations sur la sécurité -- DSA-4649-1 haproxy

Bulletin d'alerte Debian

DSA-4649-1 haproxy -- Mise à jour de sécurité

Date du rapport :

2 avril 2020

Paquets concernés :

haproxy

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-11100.

Plus de précisions :

Felix Wilhelm de Google Project Zero a découvert que HAProxy, un mandataire inverse TCP/HTTP, ne gérait pas correctement les en-têtes HTTP/2. Cela pourrait permettre à un attaquant d'écrire des octets arbitraires autour d'un emplacement particulier du tas, avec pour conséquence un déni de service ou l'exécution potentielle de code arbitraire.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1.8.19-1+deb10u2.

Nous vous recommandons de mettre à jour vos paquets haproxy.

Pour disposer d'un état détaillé sur la sécurité de haproxy, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/haproxy.