openSUSE 安全更新:haproxy (openSUSE-2015-682)

medium Nessus 插件 ID 86623
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 openSUSE 主机缺少安全更新。

描述

haproxy 已更新,修复了两个安全问题。

修复了这些安全问题:

- CVE-2015-3281:HAProxy 中的 buffer_slow_realign 函数未正确重新调整用于待定出站数据的缓冲区,这允许远程攻击者通过构建的请求获取敏感信息(以前的请求的未初始化内存内容)(bsc#937042)。

- 为阻止 Logjam 攻击,已更改 DH 参数。

已修复下列非安全性问题:

- BUG/MAJOR:buffers:使 buffer_slow_realign() 函数遵循输出数据

- BUG/MINOR:ssl:修复 smp_fetch_ssl_fc_session_id

- MEDIUM:ssl:将标准 DH 群组替换为自定义 DH 群组

- BUG/MEDIUM:ssl:修复正在被覆盖的 tune.ssl.default-dh-param 值

- MINOR:ssl:添加析构函数以释放分配的 SSL 资源

- BUG/MINOR:ssl:在错误消息中显示正确的文件名

- MINOR:ssl:按照字母顺序加载证书

- BUG/MEDIUM:checks:修复代理检查与 ssl 运行状况检查之间的冲突

- BUG/MEDIUM:ssl:内存不足时强制执行完全的垃圾回收

- BUG/MEDIUM:ssl:修复不正确的 ssl 上下文 init 可能在发生 OOM 时造成段错误。

- BUG/MINOR:ssl:正确初始化无效证书的 ssl ctx

- MINOR:ssl:添加语句以全局强制执行某些 ssl 选项。

- MINOR:ssl:添加 fetch“ssl_c_der”和“ssl_f_der”以返回 DER 格式的证书

解决方案

更新受影响的 haproxy 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=937042

https://bugzilla.opensuse.org/show_bug.cgi?id=937202

插件详情

严重性: Medium

ID: 86623

文件名: openSUSE-2015-682.nasl

版本: 2.3

类型: local

代理: unix

发布时间: 2015/10/28

最近更新时间: 2021/1/19

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Low

分数: 3.4

CVSS v2

风险因素: Medium

基本分数: 5

矢量: AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:novell:opensuse:haproxy, p-cpe:/a:novell:opensuse:haproxy-debuginfo, p-cpe:/a:novell:opensuse:haproxy-debugsource, cpe:/o:novell:opensuse:13.2

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

补丁发布日期: 2015/10/19

参考资料信息

CVE: CVE-2015-3281