セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2631-1 squid3

Debian セキュリティ勧告

DSA-2631-1 squid3 -- サービス拒否

報告日時:

2013-02-24

影響を受けるパッケージ:

squid3

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 696187.
Mitre の CVE 辞書: CVE-2012-5643, CVE-2013-0189.

詳細:

フル機能のウェブプロキシキャッシュ Squid3 が、cachemgr.cgi のメモリ漏洩によるメモリ消費のためにサービス拒否攻撃に陥りやすくなっています。:

• CVE-2012-5643

  squid の cachemgr.cgi はリソースの過剰な使用に対して脆弱でした。 リモートの攻撃者はこの欠陥を悪用して、 このサーバおよびそこでホストされている他のサービスのサービス拒否攻撃が可能です。

• CVE-2013-0189

  CVE-2012-5643 に対する元のパッチは不完全でした。 リモートの攻撃者はこの欠陥を悪用してサービス拒否攻撃が可能です。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 3.1.6-1.2+squeeze3 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 3.1.20-2.1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 3.1.20-2.1 で修正されています。

直ちに squid3 パッケージをアップグレードすることを勧めます。