Vulnérabilités dans HAProxy
Date de publication :
Plusieurs vulnérabilités ont été découvertes dans HAProxy, un équilibreur de charge et serveur proxy haute disponibilité, qui peuvent avoir pour conséquence une dissimulation de requête HTTP.
CVE-2021-39240[Score CVSS v3.1: 7.5]
Des caractères inattendus dans l'URI peuvent permettre de contourner les règles de routage.
CVE-2021-39241[Score CVSS v3.1: 5.3]
Des espaces dans la partie "method" de l'URI peuvent permettre d'effectuer des requêtes vers du contenu protégé.
CVE-2021-39242 [Score CVSS v3.1: 7.5]
Un mismatch entre "Host" et ":authority" dans les headers d'une requête peut résulter en une requête vers un domaine inattendu (contournement de règles basées sur "Host").
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Accès illégitime à des données
Criticité
- Score CVSS v3 : 7.5 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- HAProxy 2.2 avant 2.2.16, 2.3 avant 2.3.13 et 2.4 avant 2.4.3
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les composants conformément aux instructions de l’éditeur.
Solution de contournement
Une solution connue est de désactiver HTTP/2 et de régler «tune.h2.max-concurrent-streams» à 0 dans la section “global”.