Bulletin d'alerte Debian

DLA-445-2 squid3 -- Mise à jour de sécurité pour LTS

Date du rapport :
3 mars 2016
Paquets concernés :
squid3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 816601.
Dans le dictionnaire CVE du Mitre : CVE-2016-2569.
Plus de précisions :

Le correctif rétroporté pour résoudre CVE-2016-2569 donnait des échecs d’assertion, conduisant à un plantage de squid3 lors de la fermeture de connexions. Le correctif pour ce CVE repose fortement sur la gestion d’exceptions présente dans les versions plus récentes de squid3, que je n’ai pas repérée dans la mise à jour précédente. J’ai repris le correctif pour un fonctionnement plus sûr, en prenant en compte le fait que les utilisateurs de Squeeze devraient migrer vers une version prise en charge par Debian. Cette mise à jour postérieure à la fin de vie est voulue pour garder un paquet squid3 fonctionnel dans l’archive.