CVE ID(CVE-2023-25725)
CVE編號:CVE-2023-25725
安全級別:嚴(yán)重
發(fā)布日期:2023-02-17
詳細(xì)介紹
1.漏洞描述
2.7.3 之前的 HAProxy 可能允許繞過訪問控制����,因?yàn)?HTTP/1 標(biāo)頭在某些情況下會(huì)無意中丟失�����,也就是“請求走私”�����。HAProxy 中的 HTTP 標(biāo)頭解析器可以接受空的標(biāo)頭字段名稱,這可用于截?cái)?HTTP 標(biāo)頭列表�,從而使某些標(biāo)頭在針對 HTTP/1.0 和 HTTP/1.1 進(jìn)行解析和處理后消失。對于 HTTP/2 和 HTTP/3�,影響有限��,因?yàn)闃?biāo)頭在解析和處理之前就消失了�,就好像它們不是由客戶端發(fā)送的一樣。固定版本為 2.7.3����、2.6.9、2.5.12�����、2.4.22����、2.2.29 和 2.0.31。
2.影響產(chǎn)品(系統(tǒng)版本 是否受影響)
中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7 不影響
3.漏洞評分( 漏洞編號 危害程度 CVSS 3.1 評分 漏洞類型)
CVE-2023-25725 嚴(yán)重 8.2 其他
漏洞評分向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L
4.修復(fù)方案
無需修復(fù)
