Информация по безопасности / 2011 / Информация о безопасности -- DSA-2304-1 squid3

Рекомендация Debian по безопасности

DSA-2304-1 squid3 -- переполнение буфера

Дата сообщения:

11.09.2011

Затронутые пакеты:

squid3

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 639755.
В каталоге Mitre CVE: CVE-2011-3205.

Более подробная информация:

Бен Хаукс обнаружил, что Squid 3, полнофункциональный кеширующий веб-прокси (HTTP-прокси), содержит переполнение буфера, которое возникает при обработке ответов от серверов Gopher. Злоумышленник может использовать эту уязвимость, подключившись к серверу Gopher, возвращающему строки длинной более 4096 байт. Это может приводить к отказу в обслуживании (аварийное завершение работы службы) или возможно к выполнению произвольного кода с правами службы squid.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 3.0.STABLE8-3+lenny5.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 3.1.6-1.2+squeeze1.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 3.1.15-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.1.15-1.

Рекомендуется обновить пакеты squid3.