ГлавнаяБаза уязвимостей БДУ → BDU:2023-00758
7.8высокая

BDU:2023-00758 (CVE-2023-25725)

Уязвимость серверного программного обеспечения HAProxy, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнять атаку «контрабанда HTTP-запросов»
Опубликовано: 2023-02-17
Описание

Уязвимость серверного программного обеспечения HAProxy связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять атаку «контрабанда HTTP-запросов»

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Software CollectionsAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)openSUSE TumbleweedOpenShift Container Platform (4)Ubuntu (20.04 LTS)Debian GNU/Linux (11)SUSE Linux Enterprise High Availability Extension (15 SP3)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)SUSE Linux Enterprise High Availability Extension (15 SP1)Astra Linux Special Edition (4.7)Ubuntu (22.10)SUSE Linux Enterprise Micro (5.3)openSUSE Leap Micro (5.3)SUSE Linux Enterprise High Availability Extension (15 SP2)HAProxy (от 2.0.0 до 2.0.31)HAProxy (от 2.2.0 до 2.2.29)HAProxy (от 2.4.0 до 2.4.22)HAProxy (от 2.5.0 до 2.5.12)HAProxy (от 2.6.0 до 2.6.9)HAProxy (от 2.7.0 до 2.7.3)HAProxy (от 2.8 до 2.8-dev4)SUSE Linux Enterprise High Availability Extension (15 SP4)Red Hat Ceph Storage (5)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- предотвратить возможность контрабанды HTTP-запросов можно путем задания в конфигурации следующего правила:
http-request deny if { fc_http_major 1 } !{ req.body_size 0 } !{ req.hdr(content-length) -m found } !{ req.hdr(transfer-encoding) -m found } !{ method CONNECT }.

Использование рекомендаций:
Для HAProxy:
https://www.haproxy.org/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-25725

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-25725.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-25725

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5869-1

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения haproxy до версии 1.8.19-1+deb10u4

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для Astra Linux 1.6 «Смоленск»:
обновить пакет haproxy до 2.2.29-2astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Astra Linux:
обновить пакет haproxy до 2.2.32-5astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2400

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2023-25725https://nvd.nist.gov/vuln/detail/CVE-2023-25725https://www.haproxy.org/https://security-tracker.debian.org/tracker/CVE-2023-25725https://www.debian.org/security/2023/dsa-5348https://lists.debian.org/debian-lts-announce/2023/02/msg00012.htmlhttps://ubuntu.com/security/notices/USN-5869-1https://www.suse.com/security/cve/CVE-2023-25725.html
Проверьте безопасность своего сайта и почты → Полная проверка домена