Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2304-1 squid3

Bulletin d'alerte Debian

DSA-2304-1 squid3 -- Débordement de mémoire tampon

Date du rapport :

11 septembre 2011

Paquets concernés :

squid3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 639755.
Dans le dictionnaire CVE du Mitre : CVE-2011-3205.

Plus de précisions :

Ben Hawkes a découvert que Squid 3, un mandataire cache web (HTTP proxy) pleinement fonctionnel, est vulnérable à un débordement de mémoire tampon lors du traitement de réponses d'un serveur Gopher. Un attaquant peut exploiter ce défaut en se connectant à un serveur Gopher qui renvoie des lignes plus longues que 4096 octets. Cela peut donner lieu à des conditions de déni de service (plantage du démon) ou éventuellement l'exécution de code arbitraire avec les droits du démon squid.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 3.0.STABLE8-3+lenny5.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.1.6-1.2+squeeze1.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 3.1.15-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.1.15-1.

Nous vous recommandons de mettre à jour vos paquets squid3.