Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-09148

Опубликовано: 14 окт. 2024
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость серверного программного обеспечения HAProxy связана с обходом аутентификации посредством спуфинга. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти функциональность списка разрешенных/блокированных IP-адресов

Вендор

ООО «Ред Софт»
Willy Terreau

Наименование ПО

РЕД ОС
HAProxy

Версия ПО

7.3 (РЕД ОС)
от 2.9 до 2.9.11 (HAProxy)
от 3.0 до 3.0.5 (HAProxy)
от 3.1 до 3.1-dev7 (HAProxy)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для HAProxy:
https://github.com/haproxy/haproxy/commit/f627b9272bd8ffca6f2f898bfafc6bf0b84b7d46
https://www.haproxy.org/download/2.9/src/CHANGELOG
https://www.haproxy.org/download/3.0/src/CHANGELOG
https://www.haproxy.org/download/3.1/src/CHANGELOG
https://www.mail-archive.com/haproxy%40formilux.org/msg45291.html
https://www.mail-archive.com/haproxy%40formilux.org/msg45314.html
https://www.mail-archive.com/haproxy%40formilux.org/msg45315.html
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 34%
0.00137
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20241023-01

CVSS3: 5.3
redos
около 1 года назад

Уязвимость haproxy

ubuntu логотип

CVE-2024-49214

CVSS3: 5.3
ubuntu
около 1 года назад

QUIC in HAProxy 3.1.x before 3.1-dev7, 3.0.x before 3.0.5, and 2.9.x before 2.9.11 allows opening a 0-RTT session with a spoofed IP address. This can bypass the IP allow/block list functionality.

redhat логотип

CVE-2024-49214

CVSS3: 5.3
redhat
больше 1 года назад

QUIC in HAProxy 3.1.x before 3.1-dev7, 3.0.x before 3.0.5, and 2.9.x before 2.9.11 allows opening a 0-RTT session with a spoofed IP address. This can bypass the IP allow/block list functionality.

nvd логотип

CVE-2024-49214

CVSS3: 5.3
nvd
около 1 года назад

QUIC in HAProxy 3.1.x before 3.1-dev7, 3.0.x before 3.0.5, and 2.9.x before 2.9.11 allows opening a 0-RTT session with a spoofed IP address. This can bypass the IP allow/block list functionality.

msrc логотип

CVE-2024-49214

CVSS3: 5.3
msrc
3 месяца назад

QUIC in HAProxy 3.1.x before 3.1-dev7, 3.0.x before 3.0.5, and 2.9.x before 2.9.11 allows opening a 0-RTT session with a spoofed IP address. This can bypass the IP allow/block list functionality.

EPSS

Процентиль: 34%
0.00137
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2