漏洞标题
Traefik中的Content-length头可能存在的拒绝服务漏洞
漏洞描述信息
Traefik是一个HTTP反向代理和负载均衡器。在受影响的版本中,向任何Traefik端点发送带有"Content-length"请求头的GET请求,会导致默认配置下的无限挂起。攻击者可以利用这个漏洞引发拒绝服务。此漏洞已在2.11.2版本和3.0.0-rc5版本中得到解决。建议用户升级。对于受影响的版本,可以通过配置readTimeout选项来缓解此漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
未加控制的资源消耗(资源穷尽)
漏洞标题
Possible denial of service vulnerability with Content-length header in Traefik
漏洞描述信息
Traefik is an HTTP reverse proxy and load balancer. In affected versions sending a GET request to any Traefik endpoint with the "Content-length" request header results in an indefinite hang with the default configuration. This vulnerability can be exploited by attackers to induce a denial of service. This vulnerability has been addressed in version 2.11.2 and 3.0.0-rc5. Users are advised to upgrade. For affected versions, this vulnerability can be mitigated by configuring the readTimeout option.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
对异常条件的处理不恰当
漏洞标题
Containous Traefik 安全漏洞
漏洞描述信息
Containous Traefik是美国Containous公司的一款反向代理和负载平衡器。 Containous Traefik存在安全漏洞,该漏洞源于Content-length标头存在拒绝服务(DOS)漏洞。受影响的产品和版本:Traefik v2.11.0及之前版本,v3.0.0-rc3及之前版本。
CVSS信息
N/A
漏洞类别
其他