【安全通告】HAProxy 内存越界写入漏洞通告(CVE-2020-11100)
摘要:
尊敬的腾讯云客户, 您好:
近日,腾讯云安全运营中心 监测到HAProxy 官方发布公告称其修复了 HTTP/2 HPACK 解码器中存在的一个严重漏洞(编号:CVE-2020-11100),攻击者通过发送恶意构造的 HTTP/2 请求数据包,可能导致 HAProxy 程序崩溃或远程代码执行。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
HAProxy 是一款开源且免费的反向代理软件,为基于TCP 和HTTP 的应用提供高可用、负载均衡和代理功能。
Google Project Zero 安全研究员发现 HAProxy HTTP/2 HPACK 解码器存在越界内存写入漏洞,攻击者可发送恶意构造的 HTTP/2 请求数据包,引起 HAProxy 程序崩溃以及远程代码执行。
【风险等级】
高风险
【漏洞风险】
漏洞可导致 HAProxy 程序崩溃或进行远程代码执行
【影响版本】
HAProxy 1.8.0 – 1.8.24
HAProxy Enterprise 1.8r1 1.0.0-186.251 – 193.716 HAProxy Enterprise 1.8r2 2.0.0-190.714 – 205.1000
ALOHA 10.0.0 – 10.0.14
ALOHA 10.5.0 – 10.5.12
HAProxy 1.9.0 – 1.9.14
HAProxy Enterprise 1.9r1 1.0.0-197.290 – 208.876
HAProxy ALOHA 11.0.0 – 11.0.7
HAProxy 2.0.0 – 2.0.13
HAProxy Enterprise 2.0r1 1.0.0-204.260 – 219.645
HAProxy ALOHA 11.5.0 – 11.5.3
HAProxy 2.1.0 – 2.1.3
HAProxy Enterprise 2.1r1 1.0.0-217.0 – 221.38
【修复版本】
HAProxy 1.8.25+
HAProxy Enterprise 1.8r2 2.0.0-205.1048+
ALOHA 10.5.13+
HAProxy 1.9.15+
HAProxy Enterprise 1.9r1 1.0.0-213.948+
HAProxy ALOHA 11.0.8+
HAProxy 2.0.14+
HAProxy Enterprise 2.0r1 1.0.0-220.698+
HAProxy ALOHA 11.5.4+
HAProxy 2.1.4+
HAProxy Enterprise 2.1r1 1.0.0-221.93+
【修复建议】
HAProxy官方已发布新版本修复该漏洞,腾讯云安全团队建议您做好风险自查,如在受影响版本,建议尽快安排升级工作。
【漏洞参考】