LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-2028-1 squid3

Bulletin d'alerte Debian

DLA-2028-1 squid3 -- Mise à jour de sécurité pour LTS

Date du rapport :

10 décembre 2019

Paquets concernés :

squid3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-12526, CVE-2019-18677, CVE-2019-18678, CVE-2019-18679.

Plus de précisions :

Squid, un serveur mandataire et de cache de haute performance pour des clients web, était affecté par les vulnérabilités de sécurité suivantes.

• CVE-2019-12526

  Le traitement de réponse à un URN dans Squid souffrait d’un dépassement de tampon basé sur le tas. Lors de la réception de données d’un serveur distant en réponse à une requête d’URN, Squid échouait à assurer que la réponse pouvait être contenue dans le tampon. Cela conduisait à des données contrôlées par l’attaquant débordant du tas.

• CVE-2019-18677

  Lorsque le réglage append_domain est utilisé (dû aux caractères ajoutés n’interagissant pas correctement avec les restrictions de longueur de nom d’hôte), il pouvait de manière inappropriée rediriger le trafic vers des sources non prévues. Cela se produit à cause du traitement incorrect du message.

• CVE-2019-18678

  Une erreur de programmation permet à des attaquants de transférer illégalement des requêtes HTTP au travers du logiciel d’interface vers une instance Squid qui fractionne la tuyauterie des requêtes HTTP différemment, aboutissant à des caches corrompus de réponse de message (entre un client et Squid) à l’aide de contenu contrôlé par l’attaquant dans des URL arbitraires. Les effets sont isolés du logiciel entre le client de l’attaquant et Squid. Il n’y a pas d’effets sur Squid lui-même, ni sur aucun serveur amont. Ce problème concerne un en-tête de requête contenant une espace entre un nom d’en-tête et un deux-points.

• CVE-2019-18679

  Dû à une gestion incorrecte de données, Squid est sujet à une divulgation d'informations lors du traitement de « Digest Authentication » HTTP. Des jetons créés pour l’occasion contiennent la valeur brute d’octets d’un pointeur se trouvant dans l’allocation de mémoire de tas. Cette information réduit les protections ASLR et peut aider des attaquants à isoler des zones de mémoire à exploiter pour des attaques d’exécution de code à distance.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.4.8-6+deb8u9.

Nous vous recommandons de mettre à jour vos paquets squid3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.