Debian Long Term Support / LTS Security Information / 2016 / Sikkerhedsoplysninger -- DLA-445-2 squid3

Debians sikkerhedsbulletin

DLA-445-2 squid3 -- LTS-sikkerhedsopdatering

Rapporteret den:

3. mar 2016

Berørte pakker:

squid3

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 816601.
I Mitres CVE-ordbog: CVE-2016-2569.

Yderligere oplysninger:

Den tilbageførte patch til løsning af CVE-2016-2569 medførte fejlende assertions, som fik squid3 til at gå ned, når forbindelser lukkes. Rettelsen af CVE er stærkt afhængig af exceptionhåndtering, som er til stede i nyere versioner af squid3, som jeg ikke var opmærksom på i den foregående opdatering. Jeg har tilbagerullet patch'en, for at gå tilbage til det sikreste udgangspunkt, taget i betragtning at Squeeze-brugere bør migrere til en understøttet version af Debian. Denne opdatering, efter understøttelsen er ophørt, har til hensigt at bevare en fungerende squid3-pakke i arkivet.