インターネット上の様々なオブジェクトをキャッシュするポピュラーな WWW プロキシキャッシュプログラムである Squid に複数の脆弱性が発見されています。 Common Vulnerabilities and Exposures プロジェクトでは、以下の脆弱性を認識しています:
LDAP はサーチフィルタ内の空白の取り扱いについては大変甘く、 これによって複数のログイン名を使ったログインによる攻撃を受ける可能性があります。 明示的なアクセスコントロールを迂回される、 あるいはアカウンティングを混乱させられる恐れがあります。
HTTP 応答の分割によるキャッシュの汚染問題が発見されました。
参照されるどの ACL (アクセスコントロールリスト) も空 (メンバー無し) で定義されている場合、アクセスコントロールの動作が混乱する可能性があります。
WCCP recvfrom() 呼び出しの際の引数長が、 本来期待されるものより長いものとなっています。攻撃者は通常より大きな WCCP パケットを送りつけ、バッファを溢れさせることが可能です。
安定版ディストリビューション (stable、コードネーム woody) では、これらの問題はバージョン 2.4.6-2woody6 で修正されています。
不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題はバージョン 2.5.7-7 で修正されています。
squid パッケージのアップグレードをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。