PT-2021-7625 · Haproxy+2 · Haproxy+2

Tim Düsterhus

·

Publicado

2021-08-11

·

Atualizado

2024-03-06

·

CVE-2021-39241

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do HAProxy 2.0 a 2.0.23
Versões do HAProxy 2.2 a 2.2.15
Versões do HAProxy 2.3 a 2.3.12
Versões do HAProxy 2.4 a 2.4.2
Descrição
O problema está relacionado à validação insuficiente de entradas no software do servidor HTTP HAProxy. Isso permite que um invasor remoto comprometa a integridade dos dados. Especificamente, um nome de método HTTP pode conter um espaço seguido pelo nome de um recurso protegido, o que poderia ser interpretado pelo servidor como uma solicitação desse recurso protegido. Por exemplo, uma solicitação como “GET /admin? HTTP/1.1 /static/images HTTP/1.1” poderia ser interpretada incorretamente.
Recomendações
Para as versões 2.0 a 2.0.23 do HAProxy, atualize para a versão 2.0.24 ou posterior.
Para as versões 2.2 a 2.2.15 do HAProxy, atualize para a versão 2.2.16 ou posterior.
Para as versões 2.3 a 2.3.12 do HAProxy, atualize para a versão 2.3.13 ou posterior.
Para as versões 2.4 a 2.4.2 do HAProxy, atualize para a versão 2.4.3 ou posterior.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALT-PU-2022-3040
ALT-PU-2023-1151
ALT-PU-2023-5100
BDU:2023-00287
BIT-HAPROXY-2021-39241
CVE-2021-39241
DSA-4960-1
OESA-2021-1333
RHSA-2021:4118
RHSA-2021:5208
RHSA-2022:0024
RHSA-2022:0114
USN-5042-1

Produtos afetados

Alt Linux
Astra Linux
Haproxy