Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06892

Опубликовано: 10 авг. 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость серверного программного обеспечения HAProxy связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Willy Terreau

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
HAProxy

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
от 2.2.0 до 2.2.16 (HAProxy)
от 2.3.0 до 2.3.13 (HAProxy)
от 2.4.0 до 2.4.3 (HAProxy)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Для HAProxy:
использование рекомендаций производителя: https://git.haproxy.org/?p=haproxy.git;a=commit;h=a495e0d94876c9d39763db319f609351907a31e8
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-39240
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 21%
0.00066
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-39240

CVSS3: 7.5
ubuntu
больше 4 лет назад

An issue was discovered in HAProxy 2.2 before 2.2.16, 2.3 before 2.3.13, and 2.4 before 2.4.3. It does not ensure that the scheme and path portions of a URI have the expected characters. For example, the authority field (as observed on a target HTTP/2 server) might differ from what the routing rules were intended to achieve.

redhat логотип

CVE-2021-39240

CVSS3: 7.5
redhat
больше 4 лет назад

An issue was discovered in HAProxy 2.2 before 2.2.16, 2.3 before 2.3.13, and 2.4 before 2.4.3. It does not ensure that the scheme and path portions of a URI have the expected characters. For example, the authority field (as observed on a target HTTP/2 server) might differ from what the routing rules were intended to achieve.

nvd логотип

CVE-2021-39240

CVSS3: 7.5
nvd
больше 4 лет назад

An issue was discovered in HAProxy 2.2 before 2.2.16, 2.3 before 2.3.13, and 2.4 before 2.4.3. It does not ensure that the scheme and path portions of a URI have the expected characters. For example, the authority field (as observed on a target HTTP/2 server) might differ from what the routing rules were intended to achieve.

debian логотип

CVE-2021-39240

CVSS3: 7.5
debian
больше 4 лет назад

An issue was discovered in HAProxy 2.2 before 2.2.16, 2.3 before 2.3.1 ...

github логотип

GHSA-88gq-424p-x3xc

github
больше 3 лет назад

An issue was discovered in HAProxy 2.2 before 2.2.16, 2.3 before 2.3.13, and 2.4 before 2.4.3. It does not ensure that the scheme and path portions of a URI have the expected characters. For example, the authority field (as observed on a target HTTP/2 server) might differ from what the routing rules were intended to achieve.

EPSS

Процентиль: 21%
0.00066
Низкий

7.5 High

CVSS3

7.8 High

CVSS2