Bulletin d'alerte Debian

DLA-2685-1 squid3 -- Mise à jour de sécurité pour LTS

Date du rapport :
28 juin 2021
Paquets concernés :
squid3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-28651, CVE-2021-28652, CVE-2021-31806, CVE-2021-31807, CVE-2021-31808, CVE-2021-33620.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Squid, un serveur mandataire et de cache.

  • CVE-2021-28651

    À cause d’un bogue de gestion de tampon, un déni de service est possible. Lors de la résolution d’une requête avec l’URN : scheme, l’analyseur laisse fuiter une petite partie de la mémoire. Cependant, il existe une méthodologie d’attaque non précisée qui peut facilement provoquer une grande consommation de mémoire.

  • CVE-2021-28652

    À cause d’une validation incorrecte d’analyseur, une attaque par déni de service est possible sur l’API de gestion de cache. Cela permet à un client authentifié de déclencher une fuite de mémoire qui, dans la durée, conduit à un déni de service à l'aide d'une courte chaîne non précisée de requête . Cette attaque est limitée aux clients pouvant accéder à cette API.

  • CVE-2021-31806

    À cause d’un bogue de gestion de mémoire, une vulnérabilité d’attaque par déni de service (contre tous les clients utilisant le mandataire) est possible à l’aide du traitement d'une requête d’intervalles HTTP.

  • CVE-2021-31807

    Un problème de dépassement d'entier permet à un serveur distant de réaliser un déni de service lors de la fourniture de réponses aux requêtes d’intervalle HTTP. Le déclencheur du problème est un en-tête pouvant être attendu dans un trafic HTTP sans aucune intention malveillante.

  • CVE-2021-31808

    À cause d’un bogue de validation d’entrée, une vulnérabilité d’attaque par déni de service (contre tous les clients utilisant le mandataire) est possible à l’aide de l'envoi d'une requête d’intervalles HTTP.

  • CVE-2021-33620

    Un serveur distant peut provoquer un déni de service (affectant la disponibilité à tous les clients) à l'aide d'une réponse HTTP. Le déclencheur du problème est un en-tête pouvant être attendu dans un trafic HTTP sans aucune intention malveillante du serveur.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 3.5.23-5+deb9u7.

Nous vous recommandons de mettre à jour vos paquets squid3.

Pour disposer d'un état détaillé sur la sécurité de squid3, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/squid3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.