2019-2482: HAProxy: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2019-11-27 17:41)

Neues Advisory

Version 2 (2019-11-28 16:46)

Für die stabile Debian Distribution (Buster) steht ein Sicherheitsupdate von 'haproxy' bereit, wodurch die Schwachstelle CVE-2019-19330 behoben wird.

Version 3 (2019-12-04 17:58)

Für Ubuntu 18.04 LTS, 19.04 und 19.10 stehen Sicherheitsupdates von 'haproxy' bereit, um die Schwachstelle CVE-2019-19330 zu schließen.

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in HAProxy ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung eines HTTP-Request-Smuggeling-Angriffs, wodurch weitere Angriffe möglich werden, und eines Denial-of-Service (DoS)-Angriffs. Der HAProxy Versionszweig 1.8.x ist nur von der ersten Schwachstelle (CVE-2019-19330) betroffen.

Der Hersteller bietet die Versionen 1.8.23, 1.9.13 und 2.0.10 als Sicherheitsupdates an, um die Schwachstellen zu beheben.

Für Fedora 30 steht ein Sicherheitsupdate in Form des 'haproxy-1.8.23-1.fc30'-Pakets und für Fedora 31 in Form des Pakets 'haproxy-2.0.10-1.fc31' im Status 'testing' bereit.

Schwachstellen:

CVE-2019-19330

Schwachstelle in HAProxy ermöglicht HTTP-Request-Smuggeling-Angriff

HAPROXY-2-0-10-B

Schwachstelle in HAProxy ermöglich Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.