2021-1764: HAProxy: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2021-08-18 12:51): Neues Advisory
Version 2 (2021-08-19 10:01): Für Fedora 33 und 34 stehen Sicherheitsupdates in Form der Pakete 'haproxy-2.2.16-1.fc33' und 'haproxy-2.3.13-1.fc34' im Status 'testing' bereit, um die referenzierten Schwachstellen zu beheben. Für openSUSE Leap 15.3 und SUSE Linux Enterprise High Availability 15 SP2 und SP3 stehen ebenfalls Sicherheitsupdates für 'haproxy' zur Behebung der Schwachstellen betreffs H2-Anfragen zur Verfügung.
Version 3 (2021-08-20 11:10): Korrespondierend zu den zuvor von SUSE veröffentlichten Sicherheitsupdates steht für die Distribution openSUSE Leap 15.2 ein aktualisiertes 'haproxy'-Paket zur Verfügung, welches die Schwachstellen im H2-Kontext adressiert, von denen nur die Schwachstelle CVE-2021-39241 explizit referenziert wird.

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um falsche Informationen darzustellen und dadurch Sicherheitsvorkehrungen zu umgehen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller veröffentlicht HAProxy in den Versionen 2.2.16, 2.3.13 und 2.4.3, um die Schwachstellen zu beheben.

Debian stellt für Debian 11 Bullseye (stable) ein Sicherheitsupdate für 'haproxy' in Version 2.2.9-2+deb11u1 bereit, um die Schwachstellen zu beheben.

Canonical stellt für Ubuntu 20.04 LTS und Ubuntu 21.04 Sicherheitsupdates für 'haproxy' bereit, um die Schwachstellen betreffs der fehlerhaften Handhabung des HTTP/2-Protokolls zu beheben.

Schwachstellen:

CVE-2021-39240

Schwachstelle in HAProxy ermöglicht Darstellen falscher Informationen

CVE-2021-39241

Schwachstelle in HAProxy ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-39242