ГлавнаяБаза уязвимостей БДУ → BDU:2024-02429
6.4высокая

BDU:2024-02429

Уязвимость серверного программного обеспечения HAProxy, связанная с пересылкой пустых заголовков Content-Length, позволяющая нарушителю выполнять атаку «контрабанда HTTP-запросов»
Опубликовано: 2024-04-01
Описание

Уязвимость серверного программного обеспечения HAProxy связана с пересылкой пустых заголовков Content-Length. Эксплуатация уязвимости может позволить нарушителю, действующему удалено, выполнять атаку «контрабанда HTTP-запросов»

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)РОСА ХРОМ (12.4)АЛЬТ СП 10HAProxy (до 2.0.32 включительно)HAProxy (от 2.2.0 до 2.2.30 включительно)HAProxy (от 2.4.0 до 2.4.23 включительно)HAProxy (от 2.5.0 до 2.6.15)HAProxy (от 2.7.0 до 2.7.10)HAProxy (от 2.8.0 до 2.8.2)
Способ устранения

Использование рекомендаций:
Для HAProxy:
https://github.com/haproxy/haproxy/commit/6492f1f29d738457ea9f382aca54537f35f9d856
https://github.com/haproxy/haproxy/issues/2237
https://www.haproxy.org/download/2.6/src/CHANGELOG
https://www.haproxy.org/download/2.7/src/CHANGELOG
https://www.haproxy.org/download/2.8/src/CHANGELOG

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет haproxy до 2.2.32-5astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет haproxy до 2.2.32-5astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет haproxy до 2.2.32-5astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux:
обновить пакет haproxy до 2.2.32-5astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2400

Оценка CVSS
Балл6.4 — высокая опасность
Источники и патчи
https://github.com/haproxy/haproxy/commit/6492f1f29d738457ea9f382aca54537f35f9d856https://github.com/haproxy/haproxy/issues/2237https://www.haproxy.org/download/2.6/src/CHANGELOGhttps://www.haproxy.org/download/2.7/src/CHANGELOGhttps://www.haproxy.org/download/2.8/src/CHANGELOGhttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена