Bulletin d'alerte Debian

DLA-2394-1 squid3 -- Mise à jour de sécurité pour LTS

Date du rapport :
2 octobre 2020
Paquets concernés :
squid3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-15049, CVE-2020-15810, CVE-2020-15811, CVE-2020-24606.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans Squid, un serveur et mandataire cache de haute performance pour des clients web.

  • CVE-2020-15049

    Un problème a été découvert dans http/ContentLengthInterpreter.cc dans Squid. Une attaque par dissimulation de requête et empoisonnement peut réussir à l’encontre d’un cache HTTP. Le client envoie une requête avec un en-tête ContentLength contenant "+\ "-" ou un préfixe de caractère blanc non habituel d’interpréteur à la valeur du champ longueur. Cette mise à jour fournit aussi plusieurs autres améliorations au code d’analyse de HttpHeader.

  • CVE-2020-15810

    et CVE-2020-15811.

    Due à une validation incorrecte de données, des attaques par dissimulation de requête HTTP peuvent réussir à l’encontre de trafic HTTP ou HTTPS. Cela conduit à un empoisonnement du cache et permet à n’importe quel client, y compris les scripts de navigateur, de contourner la sécurité locale et d’empoissonner le mandataire cache, et n’importe quels caches en aval, avec le contenu d’une source arbitraire. Lorsqu’il est configuré pour une analyse assouplie d’en-tête (par défaut), Squid relaie les en-têtes contenant des caractères blancs aux serveurs amont. Lorsque cela se produit sous forme de préfixe à un en-tête Content-Length, la longueur de trame indiquée sera ignorée par Squid (permettant une longueur conflictuelle pouvant être utilisée à partir d’un autre en-tête Content-Length) mais relayée en amont.

  • CVE-2020-24606

    Squid permet à un pair autorisé de réaliser un déni de service en utilisant tous les cycles disponibles de CPU lors du traitement de message contrefait de réponse Cache Digest. Cela ne se produit lorsque cache_peer est utilisé avec la fonctionnalité cache digests. Le problème existe parce que le blocage opérationnel (livelocking) de peerDigestHandleReply() dans peer_digest.cc gère incorrectement l’EOF.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 3.5.23-5+deb9u5.

Nous vous recommandons de mettre à jour vos paquets squid3.

Pour disposer d'un état détaillé sur la sécurité de squid3, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/squid3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.