Рекомендация Debian по безопасности

DSA-4968-1 haproxy -- обновление безопасности

Дата сообщения:
07.09.2021
Затронутые пакеты:
haproxy
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2021-40346.
Более подробная информация:

Ори Холландер сообщил, что отсутствие проверки длины имени заголовка в функциях htx_add_header() и htx_add_trailer() в HAProxy, быстром и надёжном обратном прокси для балансировки нагрузки, может приводить к подделке запросов или атакам через разделение ответов.

Кроме того, в данном обновлении исправлена ошибка #993303, появившаяся в DSA 4960-1 и приводящая к тому, что HAProxy не может обслуживать URL с HTTP/2, содержащие '//'.

В стабильном выпуске (bullseye) эта проблема была исправлена в версии 2.2.9-2+deb11u2.

Рекомендуется обновить пакеты haproxy.

С подробным статусом поддержки безопасности haproxy можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/haproxy