S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 03 avril 2020
N° CERTFR-2020-AVI-185
Affaire suivie par: CERT-FR
le 03 avril 2020

Avis du CERT-FR

Objet: Vulnérabilité dans HAProxy

Gestion du document

Référence CERTFR-2020-AVI-185
Titre Vulnérabilité dans HAProxy
Date de la première version 03 avril 2020
Date de la dernière version 03 avril 2020
Source(s) Bulletin de sécurité Red Hat RHSA-2020:1288 du 02 avril 2020
Bulletin de sécurité Red Hat RHSA-2020:1289 du 02 avril 2020
Bulletin de sécurité Red Hat RHSA-2020:1290 du 02 avril 2020
Bulletin de sécurité Debian DSA 4649-1 du 02 avril 2020
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Red Hat Enterprise Linux for x86_64 8 x86_64
  • Red Hat Enterprise Linux for x86_64 - Extended Update Support 8.1 x86_64
  • Red Hat Enterprise Linux for IBM z Systems 8 s390x
  • Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 8.1 s390x
  • Red Hat Enterprise Linux for Power, little endian 8 ppc64le
  • Red Hat Enterprise Linux for Power, little endian - Extended Update Support 8.1 ppc64le
  • Red Hat Enterprise Linux for ARM 64 8 aarch64
  • Red Hat Enterprise Linux for ARM 64 - Extended Update Support 8.1 aarch64
  • Red Hat Enterprise Linux Server (for IBM Power LE) - Update Services for SAP Solutions 8.1 ppc64le
  • Red Hat Enterprise Linux Server - Update Services for SAP Solutions 8.1 x86_64
  • Red Hat Enterprise Linux Server (for IBM Power LE) - Update Services for SAP Solutions 8.0 ppc64le
  • Red Hat Enterprise Linux Server - Update Services for SAP Solutions 8.0 x86_64
  • Red Hat Software Collections (for RHEL Server) 1 for RHEL 7.7 x86_64
  • Red Hat Software Collections (for RHEL Server) 1 for RHEL 7.6 x86_64
  • Red Hat Software Collections (for RHEL Server) 1 for RHEL 7.5 x86_64
  • Red Hat Software Collections (for RHEL Server) 1 for RHEL 7 x86_64
  • Red Hat Software Collections (for RHEL Workstation) 1 for RHEL 7 x86_64
  • Debian Buster versions antérieures à 1.8.19-1+deb10u2.

Résumé

Une vulnérabilité a été découverte dans HAProxy. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 03 avril 2020
    Version initiale