Összefoglaló
A HAProxy olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni.
Leírás
A sérülékenységet egy hiba okozza a „manage_server_side_cookies()” függvényen belül az src/proto_http.c-ben egyes sütik (cookies) feldolgozásakor. Ez kihasználható összeomlás előidézésére egy speciálisan erre a célra szerkesztett „Set-Cookie” fejlécet tartalmazó HTTP válasz segítségével.
A sikeres kihasználás feltétele, hogy a süti (cookie) alapú állandó engedélyezve legyen.
A sérülékenység az 1.4.9-től az 1.4.14-es verziókig található meg.
Megoldás
Frissítsen az 1.4.15-ös verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 44083
Gyártói referencia: haproxy.1wt.eu
Gyártói referencia: haproxy.1wt.eu