Bulletin d'alerte Debian

DLA-1267-1 squid -- Mise à jour de sécurité pour LTS

Date du rapport :
2 février 2018
Paquets concernés :
squid
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 888720.
Dans le dictionnaire CVE du Mitre : CVE-2018-1000027.
Plus de précisions :

Il a été découvert que Squid, un serveur mandataire cache à haute performance pour des clients web, était vulnérable à des attaques par déni de service associées au traitement de réponses ESI et au téléchargement de certificats d'autorités de certification (CA) intermédiaires.

  • CVE-2018-1000027

    Un traitement incorrect de pointeur avait pour conséquence la possibilité pour un client distant transmettant certaines requêtes HTTP, en conjonction avec certaines réponses de serveur de confiance impliquant le traitement de réponses ESI ou le téléchargement de certificats d'autorités de certification (CA) intermédiaires, de déclencher un déni de service pour tous les clients accédant au service Squid.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.7.STABLE9-4.1+deb7u3.

Nous vous recommandons de mettre à jour vos paquets squid.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.