Debian セキュリティ勧告

DSA-2040-1 squidguard -- バッファオーバフロー

報告日時:
2010-05-02
影響を受けるパッケージ:
squidguard
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 553319.
Mitre の CVE 辞書: CVE-2009-3700, CVE-2009-3826.
詳細:

squid 向け redirector/filter/ACL プラグイン squidguard の src/sgLog.c および src/sgDiv.c の欠陥により、リモートの攻撃者に以下の攻撃を許してい ることが発見されました。

  • 多数のスラッシュを含む長い URL によるサービス拒否攻撃。この攻撃によ りデーモンが緊急モードになり、リクエストを処理しない状態になります。
  • 要求された、設定されたバッファ長制限に近い長さをもつ URL に対するル ールの迂回。バッファ長制限は、squidguard では 2048 で、squid ではバー ジョンに依存しますが、4096 か 8192 です。

安定版 (stable) ディストリビューション (lenny) では、この問題はバージョ ン 1.2.0-8.4+lenny1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージ ョン 1.2.0-9 で修正されています。

直ぐに squidguard パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 5.0 (lenny)

ソース:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1.diff.gz
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0.orig.tar.gz
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1.dsc
Alpha:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/squidguard/squidguard_1.2.0-8.4+lenny1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。