Уязвимость серверного программного обеспечения HAProxy связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять атаку «контрабанда HTTP-запросов»
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- предотвратить возможность контрабанды HTTP-запросов можно путем задания в конфигурации следующего правила:
http-request deny if { fc_http_major 1 } !{ req.body_size 0 } !{ req.hdr(content-length) -m found } !{ req.hdr(transfer-encoding) -m found } !{ method CONNECT }.
Использование рекомендаций:
Для HAProxy:
https://www.haproxy.org/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-25725
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-25725.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-25725
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5869-1
Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17
Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения haproxy до версии 1.8.19-1+deb10u4
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для Astra Linux 1.6 «Смоленск»:
обновить пакет haproxy до 2.2.29-2astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОС Astra Linux:
обновить пакет haproxy до 2.2.32-5astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2400
| Балл | 7.8 — высокая опасность |