Vulnerabilidad en Varnish Cache, Varnish Cache y Varnish Enterprise (Cache Plus) (CVE-2022-23959)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/01/2022
Última modificación:
07/11/2023
Descripción
En Varnish Cache versiones anteriores a 6.6.2 y 7.x versiones anteriores a 7.0.2, Varnish Cache 6.0 LTS versiones anteriores a 6.0.10, y Varnish Enterprise (Cache Plus) 4.1.x versiones anteriores a 4.1.11r6 y 6.0.x versiones anteriores a 6.0.9r4, puede producirse contrabando de peticiones para conexiones HTTP/1
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:varnish-software:varnich_cache:*:*:*:*:-:*:*:* | 1.0.0 (incluyendo) | 6.6.2 (excluyendo) |
| cpe:2.3:a:varnish-software:varnich_cache:*:*:*:*:plus:*:*:* | 4.1.1 (incluyendo) | 4.1.11r6 (excluyendo) |
| cpe:2.3:a:varnish-software:varnich_cache:4.1:*:*:*:lts:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache:*:*:*:*:lts:*:*:* | 6.0.0 (incluyendo) | 6.0.10 (excluyendo) |
| cpe:2.3:a:varnish-software:varnish_cache_plus:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.0.9r4 (excluyendo) |
| cpe:2.3:a:varnish_cache_project:varnish_cache:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.0.2 (excluyendo) |
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.varnish-software.com/security/VSV00008/
- https://lists.debian.org/debian-lts-announce/2022/02/msg00014.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/UMMDMQWNAE3BTSZUHXQHVAMZC5TLHLYT/
- https://varnish-cache.org/security/VSV00008.html
- https://www.debian.org/security/2022/dsa-5088