UPDATE: DFN-CERT-2015-0986 HAProxy: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (13.07.2015):
Für die Distributionen Fedora 21 und Fedora 22 stehen Sicherheitsupdates
auf die HAProxy Version 1.5.14 zur Behebung der Schwachstelle im Status
‘testing’ bereit.
Version 2 (07.07.2015):
Canonical stellt für die Distributionen Ubuntu 15.04 und Ubuntu 14.10
Sicherheitsupdates zur Verfügung.
Version 1 (06.07.2015):
Neues Advisory

Betroffene Software:

HAProxy

Betroffene Plattformen:

Canonical Ubuntu Linux 14.10
Canonical Ubuntu Linux 15.04
Debian Linux 8.1 Jessie
Red Hat Fedora 21
Red Hat Fedora 22

Eine Schwachstelle in HAProxy erlaubt einem entfernten, nicht
authentisierten Angreifer Informationen auszuspähen.

Für die stabile Distribution Debian Linux Jessie (8.1) wird ein
Sicherheitsupdate zur Verfügung gestellt.

Patch:

Debian Security Advisory DSA-3301-1

https://www.debian.org/security/2015/dsa-3301

Patch:

Ubuntu Security Notice USN-2668-1

http://www.ubuntu.com/usn/usn-2668-1/

Patch:

Fedora Security Update FEDORA-2015-11255

https://admin.fedoraproject.org/updates/FEDORA-2015-11255/haproxy-1.5.14-1.fc21

Patch:

Fedora Security Update FEDORA-2015-11267

https://admin.fedoraproject.org/updates/FEDORA-2015-11267/haproxy-1.5.14-1.fc22

CVE-2015-3281: Schwachstelle in HAProxy erlaubt Ausspähen von Informationen

Eine Schwachstelle in HAProxy zeigt sich, wenn HTTP-Pipelining verwendet
wird. Hierdurch kommt es zu einer Datenkorruption und nicht initialisierter
Speicher, welcher Daten von einer früheren Anfrage oder Sitzung beinhaltet,
wird für den Client auslesbar.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0986/

Debian Security Advisory DSA-3301-1:
https://www.debian.org/security/2015/dsa-3301

Schwachstelle CVE-2015-3281 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3281

Ubuntu Security Notice USN-2668-1:
http://www.ubuntu.com/usn/usn-2668-1/

Fedora Security Update FEDORA-2015-11255:
https://admin.fedoraproject.org/updates/FEDORA-2015-11255/haproxy-1.5.14-1.fc21

Fedora Security Update FEDORA-2015-11267:
https://admin.fedoraproject.org/updates/FEDORA-2015-11267/haproxy-1.5.14-1.fc22

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.