2023-0346: HAProxy, Red Hat OpenShift Container Platform: Eine Schwachstelle ermöglicht einen HTTP-Request-Smuggling-Angriff

Historie:

Version 1 (2023-02-15 10:27)

Neues Advisory

Version 2 (2023-03-22 07:40)

Red Hat stellt Red Hat OpenShift Container Platform 4.12.8 für Red Hat Enterprise Linux 8 (x86_64, aarch64) und 9 (x86_64, aarch64) als Sicherheitsupdates bereit, um die Schwachstelle zu beheben.

Version 3 (2023-04-19 14:09)

Red Hat stellt Red Hat OpenShift Container Platform 4.11.35 für Red Hat Enterprise Linux 8 (x86_64, aarch64) als Sicherheitsupdate bereit, um die Schwachstelle zu beheben.

Version 4 (2024-12-03 11:53)

Canonical stellt für Ubuntu 16.04 ESM ein Sicherheitsupdate für 'haproxy' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Netzwerk
Server
Virtualisierung

Betroffene Plattformen

Linux
Container

Beschreibung:

Ein Angreifer kann die Schwachstelle aus der Ferne ausnutzen, um Filter- und Detektionsmechanismen von HAProxy für Anfragen über HTTP/1.0 und HTTP/1.1 zu umgehen.

Der Hersteller informiert über die Schwachstelle und stellt HAProxy 2.7.3, 2.6.9, 2.5.12, 2.4.22, 2.2.29 und 2.0.31 als Sicherheitsupdates bereit.

Für Debian 10 Buster (stable), SUSE Linux Enterprise High Availability 15 SP4, SUSE Linux Enterprise Micro 5.3, openSUSE Leap 15.4 und openSUSE Leap Micro 5.3 stehen Backport-Sicherheitsupdates zur Behebung der Schwachstelle in 'haproxy' bereit.

Schwachstellen:

CVE-2023-25725

Schwachstelle in HAProxy ermöglicht HTTP-Request-Smuggling-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.