Debians sikkerhedsbulletin
DSA-4968-1 haproxy -- sikkerhedsopdatering
- Rapporteret den:
- 7. sep 2021
- Berørte pakker:
- haproxy
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2021-40346.
- Yderligere oplysninger:
-
Ori Hollander rapporterede at manglende kontrol af headernavnet længde i funktionerne htx_add_header() og htx_add_trailer() i HAProxy, en hurtig og pålidelig load balancing-reverse proxy, kunne medføre angreb i forbindelse med smugling af forespørgsler eller opsplitning af svar.
Desuden løser denne opdatering #993303, som opståd i DSA 4960-1, hvilket medførte at HAProxy ikke kunne håndtere URL'er med HTTP/2 indeholdende
//
.I den stabile distribution (bullseye), er dette problem rettet i version 2.2.9-2+deb11u2.
Vi anbefaler at du opgraderer dine haproxy-pakker.
For detaljeret sikkerhedsstatus vedrørende haproxy, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/haproxy