openSUSE 安全性更新:HAproxy (openSUSE-2015-682)
medium Nessus Plugin ID 86623
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
HAproxy 已更新,修正了兩個安全性問題。已修正這些安全性問題:
- CVE-2015-3281:HAProxy 中的 buffer_slow_realign 函式未正確重新對齊用於擱置傳出資料的緩衝區,進而允許遠端攻擊者透過特製的要求取得敏感資訊 (之前要求的未初始化記憶體內容) (bsc#937042)。
- 已變更 DH 參數來防止 Logjam 攻擊。
已修正下列非安全性錯誤:
- BUG/MAJOR:buffers:使 buffer_slow_realign() 函式採用輸出資料
- BUG/MINOR:ssl:修正 smp_fetch_ssl_fc_session_id
- MEDIUM:ssl:將標準 DH 群組取代為自訂群組
- BUG/MEDIUM:ssl:修正要覆寫的 tune.ssl.default-dh-param 值
- MINOR:ssl:新增解構函式以釋放配置的 SSL 資源
- BUG/MINOR:ssl:在錯誤訊息中顯示正確的檔名
- MINOR:ssl:按字母順序載入憑證
- BUG/MEDIUM:checks:修正代理程式檢查和 ssl 健康情況檢查之間的衝突
- BUG/MEDIUM:ssl:在記憶體不足時強制執行完整 GC
- BUG/MEDIUM:ssl:修正錯誤的 ssl 內容 init 在發生 OOM 時可能造成 segfault 的問題。
- BUG/MINOR:ssl:針對無效的憑證,正確初始化 ssl ctx
- MINOR:ssl:新增陳述式以在全域強制執行一些 ssl 選項。
- MINOR:ssl:新增 fetchs 'ssl_c_der' 和 'ssl_f_der' 以傳回 DER 格式憑證
解決方案
更新受影響的 haproxy 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 86623
檔案名稱: openSUSE-2015-682.nasl
版本: 2.3
類型: local
代理程式: unix
已發布: 2015/10/28
已更新: 2021/1/19
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.4
CVSS v2
風險因素: Medium
基本分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
弱點資訊
CPE: p-cpe:/a:novell:opensuse:haproxy, p-cpe:/a:novell:opensuse:haproxy-debuginfo, p-cpe:/a:novell:opensuse:haproxy-debugsource, cpe:/o:novell:opensuse:13.2
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
修補程式發佈日期: 2015/10/19
參考資訊
CVE: CVE-2015-3281