Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2631-1 squid3

Debians sikkerhedsbulletin

DSA-2631-1 squid3 -- lammelsesangreb

Rapporteret den:

24. feb 2013

Berørte pakker:

squid3

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 696187.
I Mitres CVE-ordbog: CVE-2012-5643, CVE-2013-0189.

Yderligere oplysninger:

Squid3, en komplet webproxycache, var sårbar over for et lammelsesangreb (denial of service) på grund af hukommelsesforbrug forårsaget af hukommelseslækager i cachemgr.cgi:

• CVE-2012-5643

  squids cachemgr.cgi var sårbar over for overdrevet ressourceforbrug. En fjernangriber kunne udnytte fejlen til at iværksætte et lammelsesangreb på serveren og andre hostede tjenester.

• CVE-2013-0189

  Den oprindelige rettelse til CVE-2012-5643 var ufuldstændig. En fjernangriber kunne stadig udnytte fejlen til at iværksætte et lammelsesangreb.

I den stabile distribution (squeeze), er disse problemer rettet i version 3.1.6-1.2+squeeze3.

I distributionen testing (wheezy), er disse problemer rettet i version 3.1.20-2.1.

I den ustabile distribution (sid), er disse problemer rettet i version 3.1.20-2.1.

Vi anbefaler at du opgraderer dine squid3-pakker.