ابزارHAProxy میتواند اطلاعات حساس را افشاء کند و یک پراکسی سریع در مجموعه سیستم عامل Ubuntu و برخی نسخههای دیگر لینوکس بشمار میآید. بررسیها نشان میدهد که نسخههای قبل از 2.8.2 ابزار HAProxy اجزاء URL، کاراکترِ # را به شکل اشتباه مدیریت میکند که این پردازش اشتباه اجازه می-دهد تا یک مهاجم از راه دور بتواند از این نقص جهت به دست آوردن اطلاعات حساس یا دور زدن برخی از قوانین path_end، نظیر مسیردهی index.html#.png به یک سرور استاتیک بهرهبرداری کند. این آسیب-پذیری با شناسه CVE-2023-45539 و شدت 8.2 (بالا) شناسایی شده است.
محصولات تحت تأثیر
نسخههای آسیبپذیر HAProxy در سیستمعاملهای Ubuntu، Debian و Lunchpad مورد استفاده قرار گرفته و نسخههای زیر از سیستمعامل Ubuntu تحت تأثیر این آسیبپذیری قرار دارند:
• Ubuntu 23.04
• Ubuntu 22.04 LTS
• Ubuntu 20.04 LTS
توصیههای امنیتی
نقص امنیتی مذکور را میتوان از طریق اعمال بهروزرسانیهای زیر برطرف نمود:
• Ubuntu 23.04 : haproxy - 2.6.9-1ubuntu1.2
• Ubuntu 22.04 : haproxy - 2.4.22-0ubuntu0.22.04.3
• Ubuntu 20.04 : haproxy - 2.0.31-0ubuntu0.3
منابع خبر:
[1] https://linuxsecurity.com/advisories/ubuntu/ubuntu-6530-1-haproxy-vulnerability-d7ewg5ghoowv
[2] https://ubuntu.com/security/notices/USN-6530-1
[3] https://ubuntu.com/security/CVE-2023-45539
- 53