Bulletin d'alerte Debian

DLA-286-1 squid3 -- Mise à jour de sécurité pour LTS

Date du rapport :
30 juillet 2015
Paquets concernés :
squid3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 793128.
Dans le dictionnaire CVE du Mitre : CVE-2015-5400.
Plus de précisions :

Alex Rousskov a découvert que Squid, quand il est configuré avec cache_peer et exploite le trafic d'un mandataire explicite, ne traite pas correctement les réponses des pairs de la méthode CONNECT. Dans certaines configurations, cela permet à des clients distants de contourner la sécurité dans un mandataire passerelle explicite.

Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 3.1.6-1.2+squeeze5 de squid3. Nous vous recommandons de mettre à jour vos paquets squid3.