Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2631-1 squid3

Bulletin d'alerte Debian

DSA-2631-1 squid3 -- Déni de service

Date du rapport :

24 février 2013

Paquets concernés :

squid3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 696187.
Dans le dictionnaire CVE du Mitre : CVE-2012-5643, CVE-2013-0189.

Plus de précisions :

Squid3, un cache de serveur mandataire web riche en fonctionnalités, est prédisposé à une attaque par déni de service due à la consommation de mémoire causée par une fuite de mémoire dans cachemgr.cgi.

• CVE-2012-5643

  Le fichier cachemgr.cgi de squid était vulnérable à une utilisation excessive de ressources. Un attaquant distant pourrait exploiter ce défaut pour réaliser une attaque par déni de service sur le serveur et d'autres services hébergés.

• CVE-2013-0189

  Le correctif original pour CVE-2012-5643 était incomplet. Un attaquant distant pourrait encore exploiter ce défaut pour réaliser une attaque par déni de service.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.1.6-1.2+squeeze3.

Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 3.1.20-2.1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.1.20-2.1.

Nous vous recommandons de mettre à jour vos paquets squid3.