Schwachstelle in HAProxy kann System zum Absturz bringen
Eine kürzlich entdeckte Schwachstelle betrifft HAProxy und seine Enterprise-Versionen, einschließlich der Kubernetes Ingress Controller. Die Lücke CVE-2024-45506 im HTTP/2-Multiplexer kann in seltenen Fällen eine Endlosschleife auslösen und zum Absturz führen, wenn das Zero-Copy-Forwarding aktiviert ist.
Betroffene Nutzer sollten dringend auf die gepatchten Versionen aktualisieren. Alternativ lässt sich als Workaround das Zero-Copy-Forwarding deaktivieren, indem die Konfigurationsanweisung tune.h2.zero-copy-fwd-send off in der globalen Sektion von HAProxy gesetzt wird.
Empfohlene Updates sind für alle betroffenen Versionen verfügbar, darunter HAProxy 3.0.4 und 2.9.10 sowie entsprechende Updates für HAProxy Enterprise und Kubernetes Ingress Controller.