Bulletin d'alerte Debian

DLA-478-1 squid3 -- Mise à jour de sécurité pour LTS

Date du rapport :
16 mai 2016
Paquets concernés :
squid3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 823968.
Dans le dictionnaire CVE du Mitre : CVE-2016-4051, CVE-2016-4052, CVE-2016-4053, CVE-2016-4054, CVE-2016-4554, CVE-2016-4555, CVE-2016-4556.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans le serveur mandataire cache Squid.

  • CVE-2016-4051

    CESG et Yuriy M. Kaminskiy ont découvert que cachemgr.cgi de Squid était vulnérable à un dépassement de tampon lors du traitement d'entrées fournies à distance relayées par Squid.

  • CVE-2016-4052

    CESG a découvert qu'un dépassement de tampon rendait Squid vulnérable à une attaque par déni de service (DoS) lors du traitement de réponses ESI.

  • CVE-2016-4053

    CESG a découvert que Squid était vulnérable à une divulgation publique d'informations sur la disposition de la pile du serveur lors du traitement de réponses ESI.

  • CVE-2016-4054

    CESG a découvert que Squid était vulnérable à une exécution de code à distance lors du traitement de réponses ESI.

  • CVE-2016-4554

    Jianjun Chen a découvert que Squid était vulnérable à une attaque par dissimulation d'en-tête qui pourrait conduire à un empoisonnement de cache et au contournement de la politique de sécurité de même origine dans Squid et certains navigateurs client.

  • CVE-2016-4555

    et CVE-2016-4556

    « bfek-18 » et « @vftable » ont découvert que Squid était vulnérable à une attaque par déni de service (DoS) lors du traitement de réponses ESI, à cause d'une manipulation incorrecte de pointeur et d'un problème de comptage de référence.

Pour Debian 7 Wheezy, Ces problèmes ont été corrigés dans la version 3.1.20-2.2+deb7u5 de squid3. Nous vous recommandons de mettre à jour vos paquets squid3.