Schwere Sicherheitslücke haproxy-devel 2.2.14, wann kommt Version >= 2.2.17?

nonick

Es ist ja bekannt das seit September letzten Jahres eine schwere Sicherheitslücke im haproxy-devel 2.2.14 Paket existiert. Diese läuft unter CVE-2021-40346 und lässt das umgehen von ACL's zu. Es gab kurze Zeit darauf eine bereinigte Version (2.2.17), die aber bis heute noch nicht in der Paketverwaltung verfügbar ist.

Weiß jemand ab wann man mit einer aktuelleren Version rechnen kann?

Da die "stabilen" Versionen häufig veraltet oder EOL sind und die meisten dadurch die Devel-Pakete der Sense nutzen, ein vorläufiger Workaround für das haproxy-devel 2.2.14 Paket. Unter Advanced settings / Advanced pass thru folgendes hinzufügen:

http-request deny if { req.hdr_cnt(content-length) gt 1 }
http-response deny if { res.hdr_cnt(content-length) gt 1 }

JeGr

@nonick Devel wird normalerweise nicht als stable mit security fixes betrachtet, sondern als Test für neue Versionen. In 2.6 ist 2.2 auch nicht mehr enthalten, sondern wird 2.4.9 ausgeliefert. Die Stable Version ist deshalb auch immer noch die letzte pre-2.0 stable mit 1.8.30

HAproxy selbst gibt die 1.8 als LTS noch bis Ende Q42022 an, dann wird sich das vielleicht mit Stable anpassen. Ich sehe aber sonst nichts, was ansonsten "stabil immer veraltet" ist in den Packages. pfBlockerNG zählt da nicht zu, da das nen komplettes Eigengewächs ist. Bei HAproxy hatte ich bislang nie das Bedürfnis unbedingt eine superneue Version zu brauchen ;)

Aber ja, deshalb wird da auch keine großen Updates mehr kommen. 2.6RC oder 22.01 nutzen für devel inzwischen 2.4.9

Cheers :)

nonick

@jegr Danke, der Jens hatte Zeit gehabt und sich die "angestaubten" Forumsbeiträge vorgenommen .
Die HAProxy devel Version hatte ich damals deswegen installiert, da in den alten Versionen moderne Sicherheitsmaßnahmen fehlten, auch gab es da noch kein HTTP/2.
Ich denke das die pfSense Version 2.6 demnächst kommt und werde dann vermutlich wieder auf die gut abgehangene stabile Version setzen.

Das ist wie bei Debian, da heißt es auch die Pakete sind nicht uralt, sondern stabil .

JeGr

@nonick said in Schwere Sicherheitslücke haproxy-devel 2.2.14, wann kommt Version >= 2.2.17?:

Die HAProxy devel Version hatte ich damals deswegen installiert, da in den alten Versionen moderne Sicherheitsmaßnahmen fehlten, auch gab es da noch kein HTTP/2.

Öhm ich setze seit Jahren die -stable ein, das war erst 1.6 dann 1.8 und die können alle ALPN, H/2 und moderne Cipher ;) Man muss sie nur einstellen :D

Edit: Das ist ein 1.8.30 beim Kunden:

Damit bekommt das Frontend problemlos von Qualys beim Test ein A(+) :)

nonick

@jegr HAProxy 1.6 konnte noch kein HTTP/2, das wurde erst mit der Version 1.8 eingeführt. Die 1.6 Version war stable und die 1.8 devel.

Siehe https://www.haproxy.org/#desc