一、概要

近日，華為云關(guān)注到HAProxy官方發(fā)布最新安全更新公告，當(dāng)中披露了一個內(nèi)存越界寫入漏洞（CVE-2020-11100）。HAProxy 是一款開源的反向代理軟件。攻擊者利用其HTTP/2 HPACK 解碼器中存在的漏洞，可能會造成HAProxy進(jìn)程崩潰，從而導(dǎo)致拒絕服務(wù)甚至是遠(yuǎn)程代碼執(zhí)行。

華為云提醒使用HAProxy用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.haproxy.com/blog/haproxy-1-8-http-2-hpack-decoder-vulnerability-fixed/

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

HAProxy 1.8.0 – 1.8.24

HAProxy Enterprise 1.8r1 1.0.0-186.251 – 193.716

HAProxy Enterprise 1.8r2 2.0.0-190.714 – 205.1000

ALOHA 10.0.0 – 10.0.14

ALOHA 10.5.0 – 10.5.12

HAProxy 1.9.0 – 1.9.14

HAProxy Enterprise 1.9r1 1.0.0-197.290 – 208.876

HAProxy ALOHA 11.0.0 – 11.0.7

HAProxy 2.0.0 – 2.0.13

HAProxy Enterprise 2.0r1 1.0.0-204.260 – 219.645

HAProxy ALOHA 11.5.0 – 11.5.3

HAProxy 2.1.0 – 2.1.3

HAProxy Enterprise 2.1r1 1.0.0-217.0 – 221.38

安全版本：

HAProxy 1.8.25+

HAProxy Enterprise 1.8r2 2.0.0-205.1048+

ALOHA 10.5.13+

HAProxy 1.9.15+

HAProxy Enterprise 1.9r1 1.0.0-213.948+

HAProxy ALOHA 11.0.8+

HAProxy 2.0.14+

HAProxy Enterprise 2.0r1 1.0.0-220.698+

HAProxy ALOHA 11.5.4+

HAProxy 2.1.4+

HAProxy Enterprise 2.1r1 1.0.0-221.93+ 

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本。暫時無法完成升級的用戶，可參考官方提供的臨時緩解方案來進(jìn)行風(fēng)險規(guī)避

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。