鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】HAProxy整数溢出误差 (CVE-2021-40346)

宣布时间 2021-09-09

0x00 误差概述

CVE ID	CVE-2021-40346	时间	2021-09-07
类型	整数溢出	等级	高危
远程使用	是	影响规模
攻击重漂后	低	可用性	无
用户交互	无	所需权限	无
PoC/EXP		在野使用

0x01 误差详情

HAProxy是一个普遍使用的开源负载平衡器和署理效劳器，，，很是适用于负载较大的web站点，，，并被许多大型企业使用。。。。它也随大大都主流 Linux 刊行版一起提供，，，并且通常默认安排在云平台中。。。。

2021年9月7日，，，JFrog 清静研究团队果真披露了在HAProxy 中发明的一个整数溢出误差（CVE-2021-40346，，，CVSSv3 评分为8.6），，，该误差可被用于HTTP 请求走私攻击。。。。

HTTP 请求走私是一种 Web 应用程序攻击，，，它改动网站处置惩罚从多个用户收到的 HTTP 请求序列的方法。。。。该攻击的详细影响取决于HAProxy 的设置和后端 Web 效劳器设置，，，乐成使用此误差的攻击者可以实现：

l 绕过清静控制，，，包括 HAProxy 中界说的任何 ACL；；；；；

l 未授权会见敏感数据；；；；；

l 执行未授权的下令或修改数据；；；；；

l 挟制用户会话；；；；；

l 反射型XSS误差。。。。

影响规模

影响版本及修复版本如下：

0x02 处置惩罚建议

现在此误差已经修复，，，建议受影响的用户实时升级更新到修复版本。。。。

0x03 参考链接

https://www.haproxy.com/blog/september-2021-duplicate-content-length-header-fixed/

https://jfrog.com/blog/critical-vulnerability-in-haproxy-cve-2021-40346-integer-overflow-enables-http-smuggling/

https://thehackernews.com/2021/09/haproxy-found-vulnerable-to-critical.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40346

0x04 更新版本

版本	日期	修改内容
V1.0	2021-09-09	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于鉴黑担保网

关注以下公众号，，，获取更多资讯：

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】