Идентификатор: BDU:2022-06920.
Наименование уязвимости: Уязвимость серверного программного обеспечения HAProxy, связанная с выполнением цикла с недоступным условием выхода, позволяющая нарушителю вызвать отказ в обслуживании.
Описание уязвимости: Уязвимость серверного программного обеспечения HAProxy связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Debian GNU/Linux 10 | Операционная система Debian GNU/Linux 11 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Прикладное ПО информационных систем Willy Terreau HAProxy от 2.2.0 до 2.5.2 |
Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 10 | Debian GNU/Linux 11 | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 ARM |
Дата выявления: 11.02.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению:
Для HAProxy:
использование рекомендаций производителя: https://github.com/haproxy/haproxy/commit/bfb15ab34ead85f64cd6da0e9fb418c9cd14cee8
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-0711
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-0711.
Тип ошибки CWE: CWE-835
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://bugzilla.redhat.com/show_bug.cgi?id=2053666
https://git.haproxy.org/?p=haproxy-2.2.git;a=commit;h=eb1bdcb7cf6e7bd1690f7dcc6d97de3d79b54cdc
https://git.haproxy.org/?p=haproxy-2.4.git;a=commit;h=86032c309b1f42177826deaa39f7c26903a074ca
https://github.com/haproxy/haproxy/commit/bfb15ab34ead85f64cd6da0e9fb418c9cd14cee8
https://nvd.nist.gov/vuln/detail/CVE-2022-0711
https://security-tracker.debian.org/tracker/CVE-2022-0711
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
