Debian-Sicherheitsankündigung

DSA-576-1 squid -- Mehrere Verwundbarkeiten

Datum des Berichts:
29. Okt 2004
Betroffene Pakete:
squid
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 133131.
In Mitres CVE-Verzeichnis: CVE-1999-0710, CVE-2004-0918.
Weitere Informationen:

Mehrere sicherheitsrelevante Verwundbarkeiten wurden in Squid entdeckt, dem Internet-Objekt- und beliebten WWW-Proxy-Cache. Das »Common Vulnerabilities and Exposures project« legt die folgenden Probleme fest:

  • CVE-1999-0710

    Es ist möglich, Zugriffslisten zu umgehen und beliebige Hosts und Ports im Netzwerk mittels cachemgr.cgi zu durchsuchen, das in der Voreinstellung installiert wird. Die Aktualisierung deaktiviert diese Fähigkeit und führt eine Konfigurationsdatei ein (/etc/squid/cachemgr.conf), um das Verhalten zu kontrollieren.

  • CAN-2004-0918

    Die Funktion asn_parse_header (asn1.c) im SNMP-Modul von Squid erlaubt entfernten Angreifern, einen Denial of Service über bestimmte SNMP-Pakete zu verursachen. Diese Pakete enthalten Felder mit einer negativen Länge und bewirken einen Fehler bei der Zuteilung von Speicher.

Für die Stable-Distribution (Woody) wurden diese Probleme in Version 2.4.6-2woody4 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2.5.7-1 behoben.

Wir empfehlen Ihnen, Ihr squid-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4.dsc
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4.diff.gz
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_alpha.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_alpha.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_arm.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_arm.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_i386.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_i386.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_ia64.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_ia64.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_hppa.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_hppa.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_m68k.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_m68k.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_mips.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_mips.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_mipsel.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_mipsel.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_powerpc.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_powerpc.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_s390.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_s390.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_sparc.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_sparc.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.