Debians sikkerhedsbulletin

DSA-4968-1 haproxy -- sikkerhedsopdatering

Rapporteret den:
7. sep 2021
Berørte pakker:
haproxy
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2021-40346.
Yderligere oplysninger:

Ori Hollander rapporterede at manglende kontrol af headernavnet længde i funktionerne htx_add_header() og htx_add_trailer() i HAProxy, en hurtig og pålidelig load balancing-reverse proxy, kunne medføre angreb i forbindelse med smugling af forespørgsler eller opsplitning af svar.

Desuden løser denne opdatering #993303, som opståd i DSA 4960-1, hvilket medførte at HAProxy ikke kunne håndtere URL'er med HTTP/2 indeholdende //.

I den stabile distribution (bullseye), er dette problem rettet i version 2.2.9-2+deb11u2.

Vi anbefaler at du opgraderer dine haproxy-pakker.

For detaljeret sikkerhedsstatus vedrørende haproxy, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/haproxy