Aviso de seguridad de Debian

DSA-576-1 squid -- varias vulnerabilidades

Fecha del informe:
29 de oct de 2004
Paquetes afectados:
squid
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 133131.
En el diccionario CVE de Mitre: CVE-1999-0710, CVE-2004-0918.
Información adicional:

Se han descubierto varias vulnerabilidades en Squid, la caché de objetos de internet, el popular proxy caché de WWW. El proyecto Common Vulnerabilities and Exposures (Exposiciones y Vulnerabilidades Comunes) identificó los siguientes problemas:

  • CVE-1999-0710

    Era posible eludir las listas de acceso y buscar máquinas y puertos arbitrarios en la red a través de cachemgr.cgi, que se instala de forma predefinida. Esta actualización desactiva esta característica e introduce un archivo de configuración (/etc/squid/cachemgr.conf) para controlar este comportamiento.

  • CAN-2004-0918

    La función asn_parse_header (asn1.c) del módulo SNMP para Squid permitía que los atacantes remotos provocaran una denegación de servicion por medio de ciertos paquetes SNMP con campos de longitud negativa que causaban un error de ubicación de memoria.

Para la distribución estable (woody), estos problemas se han corregido en la versión 2.4.6-2woody4.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.5.7-1.

Le recomendamos que actualice el paquete squid.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4.dsc
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4.diff.gz
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_alpha.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_alpha.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_arm.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_arm.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_i386.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_i386.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_ia64.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_ia64.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_hppa.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_hppa.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_m68k.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_m68k.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_mips.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_mips.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_mipsel.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_mipsel.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_powerpc.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_powerpc.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_s390.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_s390.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody4_sparc.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody4_sparc.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody4_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.