LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-445-2 squid3

Bulletin d'alerte Debian

DLA-445-2 squid3 -- Mise à jour de sécurité pour LTS

Date du rapport :

3 mars 2016

Paquets concernés :

squid3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 816601.
Dans le dictionnaire CVE du Mitre : CVE-2016-2569.

Plus de précisions :

Le correctif rétroporté pour résoudre le CVE-2016-2569 produisait des échecs d'assertion qui faisaient planter squid3 lors de la clôture de connexions. Le correctif pour ce CVE est fortement dépendant du traitement d'exceptions présent dans les versions les plus récentes de squid3, que j'ai échoué à identifier dans la mise à jour précédente. Je suis revenu sur le correctif pour prendre la position la plus sûre, prenant en compte que les utilisateurs de Squeeze devraient migrer vers une version prise en charge de Debian. Cette mise à jour postérieure à la fin de vie est destinée à conserver un paquet squid3 fonctionnel dans l'archive.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 3.1.6-1.2+squeeze7 de squid3.