Bulletin d'alerte Debian

DSA-2111-1 squid3 -- Déni de service

Date du rapport :

19 septembre 2010

Paquets concernés :

squid3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 596086.
Dans le dictionnaire CVE du Mitre : CVE-2010-3072.

Plus de précisions :

Phil Oester a découvert que Squid-3, un serveur mandataire (proxy) et cache pour le web complet, est prédisposé à une attaque par déni de service à l'aide d'une requête comprenant des chaînes vides.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 3.0.STABLE8-3+lenny4.

Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.1.6-1.1.

Nous vous recommandons de mettre à jour vos paquets squid3.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :: http://security.debian.org/pool/updates/main/s/squid3/squid3_3.0.STABLE8-3+lenny4.diff.gz; http://security.debian.org/pool/updates/main/s/squid3/squid3_3.0.STABLE8-3+lenny4.dsc; http://security.debian.org/pool/updates/main/s/squid3/squid3_3.0.STABLE8.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/s/squid3/squid3-common_3.0.STABLE8-3+lenny4_all.deb
Alpha:: http://security.debian.org/pool/updates/main/s/squid3/squid3_3.0.STABLE8-3+lenny4_alpha.deb; http://security.debian.org/pool/updates/main/s/squid3/squidclient_3.0.STABLE8-3+lenny4_alpha.deb; http://security.debian.org/pool/updates/main/s/squid3/squid3-cgi_3.0.STABLE8-3+lenny4_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/s/squid3/squidclient_3.0.STABLE8-3+lenny4_amd64.deb; http://security.debian.org/pool/updates/main/s/squid3/squid3-cgi_3.0.STABLE8-3+lenny4_amd64.deb; http://security.debian.org/pool/updates/main/s/squid3/squid3_3.0.STABLE8-3+lenny4_amd64.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/s/squid3/squid3_3.0.STABLE8-3+lenny4_i386.deb; http://security.debian.org/pool/updates/main/s/squid3/squidclient_3.0.STABLE8-3+lenny4_i386.deb; http://security.debian.org/pool/updates/main/s/squid3/squid3-cgi_3.0.STABLE8-3+lenny4_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/s/squid3/squidclient_3.0.STABLE8-3+lenny4_ia64.deb; http://security.debian.org/pool/updates/main/s/squid3/squid3-cgi_3.0.STABLE8-3+lenny4_ia64.deb; http://security.debian.org/pool/updates/main/s/squid3/squid3_3.0.STABLE8-3+lenny4_ia64.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/s/squid3/squid3_3.0.STABLE8-3+lenny4_mipsel.deb; http://security.debian.org/pool/updates/main/s/squid3/squidclient_3.0.STABLE8-3+lenny4_mipsel.deb; http://security.debian.org/pool/updates/main/s/squid3/squid3-cgi_3.0.STABLE8-3+lenny4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/s/squid3/squidclient_3.0.STABLE8-3+lenny4_powerpc.deb; http://security.debian.org/pool/updates/main/s/squid3/squid3_3.0.STABLE8-3+lenny4_powerpc.deb; http://security.debian.org/pool/updates/main/s/squid3/squid3-cgi_3.0.STABLE8-3+lenny4_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/s/squid3/squidclient_3.0.STABLE8-3+lenny4_sparc.deb; http://security.debian.org/pool/updates/main/s/squid3/squid3_3.0.STABLE8-3+lenny4_sparc.deb; http://security.debian.org/pool/updates/main/s/squid3/squid3-cgi_3.0.STABLE8-3+lenny4_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.