Vulnerabilidad en un nombre de método HTTP en HAProxy (CVE-2021-39241)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/08/2021
Última modificación:
07/11/2023
Descripción
Se ha detectado un problema en HAProxy versiones 2.0 anteriores a 2.0.24, versiones 2.2 anteriores a 2.2.16, versiones 2.3 anteriores a 2.3.13 y versiones 2.4 anteriores a 2.4.3. Un nombre de método HTTP puede contener un espacio seguido del nombre de un recurso protegido. Es posible que un servidor interpretaría esto como una petición de ese recurso protegido, como en el método "GET /admin? HTTP/1.1 /static/images HTTP/1.1".
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:haproxy:haproxy:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.0.24 (excluyendo) |
| cpe:2.3:a:haproxy:haproxy:*:*:*:*:*:*:*:* | 2.2.0 (incluyendo) | 2.2.16 (excluyendo) |
| cpe:2.3:a:haproxy:haproxy:*:*:*:*:*:*:*:* | 2.3.0 (incluyendo) | 2.3.13 (excluyendo) |
| cpe:2.3:a:haproxy:haproxy:*:*:*:*:*:*:*:* | 2.4.0 (incluyendo) | 2.4.3 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://git.haproxy.org/?p=haproxy.git%3Ba%3Dcommit%3Bh%3D89265224d314a056d77d974284802c1b8a0dc97f
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4ALECUZDIMT5FYGP6V6PVSI4BKVZTZWN/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/RPNY4WZIQUAUOCLIMUPC37AQWNXTWIQM/
- https://www.debian.org/security/2021/dsa-4960
- https://www.mail-archive.com/haproxy%40formilux.org/msg41041.html