Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2304-1 squid3

Debians sikkerhedsbulletin

DSA-2304-1 squid3 -- bufferoverløb

Rapporteret den:

11. sep 2011

Berørte pakker:

squid3

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 639755.
I Mitres CVE-ordbog: CVE-2011-3205.

Yderligere oplysninger:

Ben Hawkes opdagede at Squid 3, en komplet webproxycache (HTTP-proxy), var sårbar over for et bufferoverløb når der blev behandlet svar fra Gopher-servere. En angriber kunne udnytte fejlen ved at forbinde sig til en Gopher-server, som returnerer linjer længere end 4096 bytes. Det kunne medføre lammelsesangrebstilstande (dæmonnedbrud) eller muligvis udførelse af vilkårlig kode med rettighederne hørende til squid-dæmonen.

I den gamle stabile distribution (lenny), er dette problem rettet i version 3.0.STABLE8-3+lenny5.

I den stabile distribution (squeeze), er dette problem rettet i version 3.1.6-1.2+squeeze1.

I distributionen testing (wheezy), er dette problem rettet i version 3.1.15-1.

I den ustabile distribution (sid), er dette problem rettet i version 3.1.15-1.

Vi anbefaler at du opgraderer dine squid3-pakker.