HAProxy 内存越界写入漏洞通告

Posted 网新安服

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HAProxy 内存越界写入漏洞通告相关的知识,希望对你有一定的参考价值。



漏洞名称




HAProxy 内存越界写入漏洞


漏洞编号




CVE-2020-11100


漏洞等级




漏洞描述

2020年04月06日, HAProxy 官方发布了针对其 HTTP/2 HPACK 解码器中存在的一个严重漏洞的修复公告。该漏洞由 Google Project Zero 团队的 @Felix Wilhelm 发现,该漏洞会导致内存的越界写入,从而导致服务崩溃或代码执行。 
HAProxy 是一个使用C语言编写的开源软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。互联网中大量的网络服务系统都使用了HAProxy。同时 HAProxy 可以选择使用 HTTP/2 协议来更有效地利用网络资源。

影响范围


  • HAProxy 1.8.0 – 1.8.24

  • HAProxy Enterprise 1.8r1 1.0.0-186.251 – 193.716

  • HAProxy Enterprise 1.8r2 2.0.0-190.714 – 205.1000

  • ALOHA 10.0.0 – 10.0.14

  • ALOHA 10.5.0 – 10.5.12

  • HAProxy 1.9.0 – 1.9.14

  • HAProxy Enterprise 1.9r1 1.0.0-197.290 – 208.876

  • HAProxy ALOHA 11.0.0 – 11.0.7

  • HAProxy 2.0.0 – 2.0.13

  • HAProxy Enterprise 2.0r1 1.0.0-204.260 – 219.645

  • HAProxy ALOHA 11.5.0 – 11.5.3

  • HAProxy 2.1.0 – 2.1.3

  • HAProxy Enterprise 2.1r1 1.0.0-217.0 – 221.38

修复措施


更新 HAProxy 到以下版本:

  • HAProxy 1.8.25+

  • HAProxy Enterprise 1.8r2 2.0.0-205.1048+

  • ALOHA 10.5.13+

  • HAProxy 1.9.15+

  • HAProxy Enterprise 1.9r1 1.0.0-213.948+

  • HAProxy ALOHA 11.0.8+

  • HAProxy 2.0.14+

  • HAProxy Enterprise 2.0r1 1.0.0-220.698+

  • HAProxy ALOHA 11.5.4+

  • HAProxy 2.1.4+

  • HAProxy Enterprise 2.1r1 1.0.0-221.93+

情报来源


https://cert.360.cn/warning/detail?id=9907acb1d05db5d53762d4d02781937b


HAProxy 内存越界写入漏洞通告
HAProxy 内存越界写入漏洞通告
HAProxy 内存越界写入漏洞通告
HAProxy 内存越界写入漏洞通告


以上是关于HAProxy 内存越界写入漏洞通告的主要内容,如果未能解决你的问题,请参考以下文章

漏洞风险提示 | HAProxy 越界内存写入漏洞(CVE-2020-11100)

Firefox曝音频数据处理内存越界漏洞CVE-2018-5146/47

Asan快速定位内存越界内存泄漏

Asan快速定位内存越界内存泄漏

内存越界一定会导致程序崩溃吗?详解内存越界

Jmeter中outofmemoryError内存溢出、数组越界等问题汇总