Bulletin d'alerte Debian

DSA-3553-1 varnish -- Mise à jour de sécurité

Date du rapport :
22 avril 2016
Paquets concernés :
varnish
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 783510.
Dans le dictionnaire CVE du Mitre : CVE-2015-8852.
Plus de précisions :

Régis Leroy de Makina Corpus a découvert que varnish, un mandataire inverse HTTP à mise en cache, est vulnérable à des problèmes de dissimulation de requête HTTP, ayant éventuellement pour conséquence un empoisonnement de cache ou le contournement de politiques de contrôle d'accès.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 3.0.2-2+deb7u2.

Nous vous recommandons de mettre à jour vos paquets varnish.