ГлавнаяБаза уязвимостей БДУ → BDU:2020-02041
10критическая

BDU:2020-02041 (CVE-2019-19330)

Уязвимость серверного программного обеспечения HAProxy, связанная с неправильным выполнением очистки HTTP-заголовков при преобразовании из HTTP/2 в HTTP/1, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2020-05-13
Описание

Уязвимость серверного программного обеспечения HAProxy связана с неправильным выполнением очистки HTTP-заголовков при преобразовании из HTTP/2 в HTTP/1. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Ubuntu (19.04)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)Debian GNU/Linux (8)OpenShift Container Platform (3.11)Debian GNU/Linux (10)Red Hat Software CollectionsUbuntu (19.10)OpenShift Container Platform (4.4)HAProxy (до 2.0.10)
Способ устранения

Использование рекомендаций:
Для HAProxy:
Обновление программного обеспечения до 2.0.10 или более поздней версии

Для Debian GNU/Linux:
Обновление программного обеспечения (пакета haproxy) до 1.8.19-1+deb10u1 или более поздней версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-19330

Для Ubuntu:
https://usn.ubuntu.com/4212-1/

Для Astra Linux:
Обновление программного обеспечения (пакета haproxy) до 1.8.19-1+deb10u3 или более поздней версии

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2019-19330https://usn.ubuntu.com/4212-1/https://git.haproxy.org/?p=haproxy.git;a=commit;h=146f53ae7e97dbfe496d0445c2802dd0a30b0878https://git.haproxy.org/?p=haproxy.git;a=commit;h=54f53ef7ce4102be596130b44c768d1818570344https://git.haproxy.org/?p=haproxy-2.0.git;a=commit;h=ac198b92d461515551b95daae20954b3053ce87ehttps://nvd.nist.gov/vuln/detail/CVE-2019-19330https://security-tracker.debian.org/tracker/CVE-2019-19330
Проверьте безопасность своего сайта и почты → Полная проверка домена