安全公告/【CVE-2023-40225】
基本信息
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:haproxy
CVSS评分:7.2
发现日期:2024-09-19
修复日期:2024-10-08
修复版本:haproxy-2.2.16-5
漏洞描述
HAProxy 2.0.32 及以上版本、2.1.x 和 2.2.x 至 2.2.30 版本、2.3.x 和 2.4.x 至 2.4.23 版本、2.5.x 和 2.6.x 至 2.6.15 版本、2.7.x 至 2.7.10 版本以及 2.8.x 至 2.8.2 版本会转发空的 Content-Length 标头,违反了 RFC 9110 第 8.6 节的规定。在极少数情况下,HAProxy 后面的 HTTP/1 服务器可能会将有效负载解释为额外请求。
漏洞判定
执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复
修复方式
软件包升级 dnf install
参考
https://www.haproxy.org/download/2.8/src/CHANGELOG;https://www.haproxy.org/download/2.6/src/CHANGELOG;https://cwe.mitre.org/data/definitions/436.html;https://github.com/haproxy/haproxy/issues/2237;https://www.haproxy.org/download/2.7/src/CHANGELOG;https://github.com/haproxy/haproxy/commit/6492f1f29d738457ea9f382aca54537f35f9d856