Résoudre la vulnérabilité de HAProxy dans les systèmes Linux en fin de vie
Une vulnérabilité critique(CVE-2023-44487) a été identifiée dans HAProxy, une solution d'équilibrage de charge et de proxy inverse largement utilisée. Cette faille, présente dans la gestion des flux HTTP/2 par HAProxy, peut potentiellement conduire à une attaque par déni de service (DoS) en raison d'une consommation excessive de ressources.
Cette vulnérabilité a été activement exploitée dans la nature entre août et octobre 2023, comme l'a signalé l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA). Les utilisateurs des versions affectées de HAProxy doivent prendre des mesures immédiates pour atténuer ce problème et s'assurer que leur environnement reste sécurisé.
Vulnérabilité de HAProxy - CVE-2023-44487
La faille réside dans la manière dont HAProxy gère les flux multiplexés dans le protocole HTTP/2. Plus précisément, HAProxy ne parvient pas à limiter correctement la création de nouveaux flux HTTP/2. Un attaquant distant peut exploiter cette faille en demandant de manière répétée de nouveaux flux multiplexés et en les annulant immédiatement avec une trame RST_STREAM. Cela oblige le serveur à allouer des ressources pour créer et démanteler ces flux, consommant finalement des ressources serveur excessives sans atteindre les limites prédéfinies pour les flux actifs par connexion. Cela conduit à un déni de service.
Systèmes affectés et mesures d'atténuation
L'une des distributions Linux affectées par CVE-2023-44487 est Ubuntu 18.04, qui a atteint sa fin de vie le 31 mai 2023. Par conséquent, cette version d'Ubuntu ne reçoit plus de correctifs de sécurité de la part de Canonical. Cependant, les utilisateurs d'Ubuntu 18.04 qui sont abonnés à Ubuntu Pro peuvent toujours accéder aux mises à jour de sécurité via le service Expanded Security Maintenance (ESM) de Canonical. Le service ESM prolonge le support pendant cinq années supplémentaires, garantissant ainsi que les vulnérabilités critiques comme celle-ci sont corrigées. Canonical a récemment publié une mise à jour de sécurité pour corriger cette vulnérabilité dans le paquet HAProxy dans Ubuntu 18.04 ESM.
Pour ceux qui recherchent une option plus abordable, Ubuntu 18.04 Endless Lifecycle Support (ELS) de TuxCare offre une alternative convaincante. Elle permet aux organisations de continuer à recevoir des correctifs de sécurité de qualité aussi longtemps que nécessaire, en leur donnant la flexibilité de migrer à leur propre rythme. Cette solution peut être particulièrement avantageuse pour les entreprises qui recherchent un moyen rentable de maintenir la sécurité des systèmes en fin de vie. L'équipe ELS avait déjà corrigé cette vulnérabilité dans le paquet HAProxy, plus tôt en octobre 2023.
Élargir l'impact de CVE-2023-44487
De plus, cette vulnérabilité affecte plusieurs paquets qui supportent le protocole HTTP/2, dont HAProxy, Nginx, Tomcat et Apache. Il est essentiel de mettre à jour ces paquets vers les dernières versions qui intègrent les correctifs de sécurité nécessaires.
L'Endless Lifecycle Support (ELS) de TuxCare couvre plus de 140 paquets critiques, y compris le noyau Linux, OpenSSL, glibc, HAProxy, Nginx, Tomcat, Apache, Python, MySQL, et plus encore. Ce support étendu est disponible pour un large éventail de distributions Linux, notamment CentOS 6, CentOS 7, CentOS 8, CentOS Stream 8, Oracle Linux 6, Oracle Linux 7, Ubuntu 16.04 et Ubuntu 18.04.
Pour ceux qui gèrent des systèmes en fin de vie, TuxCare constitue une précieuse bouée de sauvetage pour continuer à recevoir des mises à jour de sécurité critiques sans avoir à procéder à des migrations coûteuses ou immédiates.
Source : USN-7067-1