haproxy-2.4.22-3.el9_3

エラータID: AXSA:2024-7579:01

リリース日: 
2024/03/08 Friday - 13:45
題名: 
haproxy-2.4.22-3.el9_3
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- HAProxy には、空の Content-Length ヘッダーを転送してしまう問題
があるため、リモートの攻撃者により、細工されたリクエストを介して、
バックエンドの Web サーバーにペイロード部のデータを追加のリクエスト
ヘッダとして解釈させてしまうことを可能とする脆弱性が存在します。
(CVE-2023-40225)

- HAProxy には、URI の一部として '#' を解釈してしまう問題がある
ため、リモートの攻撃者より、細工された URI の入力を介して、情報
の漏洩、および不特定の影響を与えることを可能とする脆弱性が存在
します。(CVE-2023-45539)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2023-40225
HAProxy through 2.0.32, 2.1.x and 2.2.x through 2.2.30, 2.3.x and 2.4.x through 2.4.23, 2.5.x and 2.6.x before 2.6.15, 2.7.x before 2.7.10, and 2.8.x before 2.8.2 forwards empty Content-Length headers, violating RFC 9110 section 8.6. In uncommon cases, an HTTP/1 server behind HAProxy may interpret the payload as an extra request.
CVE-2023-45539
HAProxy before 2.8.2 accepts # as part of the URI component, which might allow remote attackers to obtain sensitive information or have unspecified other impact upon misinterpretation of a path_end rule, such as routing index.html#.png to a static server.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. haproxy-2.4.22-3.el9_3.src.rpm
    MD5: cf88cb484b211a582c989daf5c6d5dd2
    SHA-256: bef4a0c9148c429f013fbb68f27a74a08960e2965396430d37d035b5db677396
    Size: 3.51 MB

Asianux Server 9 for x86_64
  1. haproxy-2.4.22-3.el9_3.x86_64.rpm
    MD5: 8e41d72815aff991a7c18291326e6175
    SHA-256: f0d2e44a5a0b27b04413c804467cff3fa8ad14a98985b22e77c14151c40adfd4
    Size: 2.18 MB