Bulletin d'alerte Debian

DSA-4968-1 haproxy -- Mise à jour de sécurité

Date du rapport :
7 septembre 2021
Paquets concernés :
haproxy
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-40346.
Plus de précisions :

Ori Hollander a signalé que l'absence de vérification de la longueur de nom d'en-tête dans les fonctions htx_add_header() et htx_add_trailer() de HAProxy, un serveur mandataire inverse de répartition de charge rapide et fiable, pourrait avoir pour conséquences des attaques par dissimulation de requête ou par découpage de réponse.

En complément, cette mise à jour traite le bogue nº 993303 introduit dans la DSA 4960-1 faisant que HAProxy échoue à servir avec HTTP/2 des URL contenant des « // ».

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2.2.9-2+deb11u2.

Nous vous recommandons de mettre à jour vos paquets haproxy.

Pour disposer d'un état détaillé sur la sécurité de haproxy, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/haproxy.