HAProxy 内存越界写入漏洞预警(CVE-2020-11100)

举报
华为云客户服务中心 发表于 2020/04/07 16:43:46 2020/04/07
【摘要】 HAProxy 内存越界写入漏洞预警(CVE-2020-11100)

一、概要

近日,华为云关注到HAProxy官方发布最新安全更新公告,当中披露了一个内存越界写入漏洞(CVE-2020-11100)。HAProxy 是一款开源的反向代理软件。攻击者利用其HTTP/2 HPACK 解码器中存在的漏洞,可能会造成HAProxy进程崩溃,从而导致拒绝服务甚至是远程代码执行。

华为云提醒使用HAProxy用户及时安排自检并做好安全加固。

参考链接:

https://www.haproxy.com/blog/haproxy-1-8-http-2-hpack-decoder-vulnerability-fixed/

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

HAProxy 1.8.0 – 1.8.24

HAProxy Enterprise 1.8r1 1.0.0-186.251 – 193.716

HAProxy Enterprise 1.8r2 2.0.0-190.714 – 205.1000

ALOHA 10.0.0 – 10.0.14

ALOHA 10.5.0 – 10.5.12

HAProxy 1.9.0 – 1.9.14

HAProxy Enterprise 1.9r1 1.0.0-197.290 – 208.876

HAProxy ALOHA 11.0.0 – 11.0.7

HAProxy 2.0.0 – 2.0.13

HAProxy Enterprise 2.0r1 1.0.0-204.260 – 219.645

HAProxy ALOHA 11.5.0 – 11.5.3

HAProxy 2.1.0 – 2.1.3

HAProxy Enterprise 2.1r1 1.0.0-217.0 – 221.38

安全版本:

HAProxy 1.8.25+

HAProxy Enterprise 1.8r2 2.0.0-205.1048+

ALOHA 10.5.13+

HAProxy 1.9.15+

HAProxy Enterprise 1.9r1 1.0.0-213.948+

HAProxy ALOHA 11.0.8+

HAProxy 2.0.14+

HAProxy Enterprise 2.0r1 1.0.0-220.698+

HAProxy ALOHA 11.5.4+

HAProxy 2.1.4+

HAProxy Enterprise 2.1r1 1.0.0-221.93+ 

四、漏洞处置

目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本。暂时无法完成升级的用户,可参考官方提供的临时缓解方案来进行风险规避

注:修复漏洞前请将资料备份,并进行充分测试。


【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。