Bulletin d'alerte Debian
DLA-2685-1 squid3 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 28 juin 2021
- Paquets concernés :
- squid3
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2021-28651, CVE-2021-28652, CVE-2021-31806, CVE-2021-31807, CVE-2021-31808, CVE-2021-33620.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Squid, un serveur mandataire et de cache.
- CVE-2021-28651
À cause d’un bogue de gestion de tampon, un déni de service est possible. Lors de la résolution d’une requête avec l’URN : scheme, l’analyseur laisse fuiter une petite partie de la mémoire. Cependant, il existe une méthodologie d’attaque non précisée qui peut facilement provoquer une grande consommation de mémoire.
- CVE-2021-28652
À cause d’une validation incorrecte d’analyseur, une attaque par déni de service est possible sur l’API de gestion de cache. Cela permet à un client authentifié de déclencher une fuite de mémoire qui, dans la durée, conduit à un déni de service à l'aide d'une courte chaîne non précisée de requête . Cette attaque est limitée aux clients pouvant accéder à cette API.
- CVE-2021-31806
À cause d’un bogue de gestion de mémoire, une vulnérabilité d’attaque par déni de service (contre tous les clients utilisant le mandataire) est possible à l’aide du traitement d'une requête d’intervalles HTTP.
- CVE-2021-31807
Un problème de dépassement d'entier permet à un serveur distant de réaliser un déni de service lors de la fourniture de réponses aux requêtes d’intervalle HTTP. Le déclencheur du problème est un en-tête pouvant être attendu dans un trafic HTTP sans aucune intention malveillante.
- CVE-2021-31808
À cause d’un bogue de validation d’entrée, une vulnérabilité d’attaque par déni de service (contre tous les clients utilisant le mandataire) est possible à l’aide de l'envoi d'une requête d’intervalles HTTP.
- CVE-2021-33620
Un serveur distant peut provoquer un déni de service (affectant la disponibilité à tous les clients) à l'aide d'une réponse HTTP. Le déclencheur du problème est un en-tête pouvant être attendu dans un trafic HTTP sans aucune intention malveillante du serveur.
Pour Debian 9
Stretch
, ces problèmes ont été corrigés dans la version 3.5.23-5+deb9u7.Nous vous recommandons de mettre à jour vos paquets squid3.
Pour disposer d'un état détaillé sur la sécurité de squid3, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/squid3.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2021-28651