HAProxy 内存越界写入漏洞预警（CVE-2020-11100）

一、概要

近日，华为云关注到HAProxy官方发布最新安全更新公告，当中披露了一个内存越界写入漏洞（CVE-2020-11100）。HAProxy 是一款开源的反向代理软件。攻击者利用其HTTP/2 HPACK 解码器中存在的漏洞，可能会造成HAProxy进程崩溃，从而导致拒绝服务甚至是远程代码执行。

华为云提醒使用HAProxy用户及时安排自检并做好安全加固。

参考链接：

https://www.haproxy.com/blog/haproxy-1-8-http-2-hpack-decoder-vulnerability-fixed/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

HAProxy 1.8.0 – 1.8.24

HAProxy Enterprise 1.8r1 1.0.0-186.251 – 193.716

HAProxy Enterprise 1.8r2 2.0.0-190.714 – 205.1000

ALOHA 10.0.0 – 10.0.14

ALOHA 10.5.0 – 10.5.12

HAProxy 1.9.0 – 1.9.14

HAProxy Enterprise 1.9r1 1.0.0-197.290 – 208.876

HAProxy ALOHA 11.0.0 – 11.0.7

HAProxy 2.0.0 – 2.0.13

HAProxy Enterprise 2.0r1 1.0.0-204.260 – 219.645

HAProxy ALOHA 11.5.0 – 11.5.3

HAProxy 2.1.0 – 2.1.3

HAProxy Enterprise 2.1r1 1.0.0-217.0 – 221.38

安全版本：

HAProxy 1.8.25+

HAProxy Enterprise 1.8r2 2.0.0-205.1048+

ALOHA 10.5.13+

HAProxy 1.9.15+

HAProxy Enterprise 1.9r1 1.0.0-213.948+

HAProxy ALOHA 11.0.8+

HAProxy 2.0.14+

HAProxy Enterprise 2.0r1 1.0.0-220.698+

HAProxy ALOHA 11.5.4+

HAProxy 2.1.4+

HAProxy Enterprise 2.1r1 1.0.0-221.93+ 

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本。暂时无法完成升级的用户，可参考官方提供的临时缓解方案来进行风险规避

注：修复漏洞前请将资料备份，并进行充分测试。