Vulnerabilidad en un encabezado HTTP Host en HAProxy (CVE-2021-39242)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/08/2021
Última modificación:
07/11/2023
Descripción
Se ha detectado un problema en HAProxy versiones 2.2 anteriores a 2.2.16, versiones 2.3 anteriores a 2.3.13 y versiones 2.4 anteriores a 2.4.3. Puede conllevar a una situación con un encabezado HTTP Host controlada por un atacante, porque es manejado inapropiadamente un desajuste entre Host y autoridad.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:haproxy:haproxy:*:*:*:*:*:*:*:* | 2.2.0 (incluyendo) | 2.2.16 (excluyendo) |
| cpe:2.3:a:haproxy:haproxy:*:*:*:*:*:*:*:* | 2.3.0 (incluyendo) | 2.3.13 (excluyendo) |
| cpe:2.3:a:haproxy:haproxy:*:*:*:*:*:*:*:* | 2.4.0 (incluyendo) | 2.4.3 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://git.haproxy.org/?p=haproxy.git%3Ba%3Dcommit%3Bh%3Db5d2b9e154d78e4075db163826c5e0f6d31b2ab1
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4ALECUZDIMT5FYGP6V6PVSI4BKVZTZWN/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/RPNY4WZIQUAUOCLIMUPC37AQWNXTWIQM/
- https://www.debian.org/security/2021/dsa-4960
- https://www.mail-archive.com/haproxy%40formilux.org/msg41041.html