Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2304-1 squid3

Säkerhetsbulletin från Debian

DSA-2304-1 squid3 -- buffertspill

Rapporterat den:

2011-09-11

Berörda paket:

squid3

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 639755.
I Mitres CVE-förteckning: CVE-2011-3205.

Ytterligare information:

Ben Hawkes upptäckte att Squid 3, en fullutrustad Web Proxy cache (HTTP-proxy), är sårbar för ett buffertspill vid behandling av Gopher serversvar. En angripare kan exploatera denna brist genom att ansluta till en Gopherserver som returnerar rader längre än 4096 bytes. Detta kan resultera i ett överbelastningstillstånd (demonkrasch) eller möjligheten att exekvera godtycklig kod med samma rättigheter som squid-demonen.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 3.0.STABLE8-3+lenny5.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.1.6-1.2+squeeze1.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 3.1.15-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.1.15-1.

Vi rekommenderar att ni uppgraderar era squid3-paket.