Информация по безопасности / 2013 / Информация о безопасности -- DSA-2631-1 squid3

Рекомендация Debian по безопасности

DSA-2631-1 squid3 -- отказ в обслуживании

Дата сообщения:

24.02.2013

Затронутые пакеты:

squid3

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 696187.
В каталоге Mitre CVE: CVE-2012-5643, CVE-2013-0189.

Более подробная информация:

Squid3, полнофункциональный прокси и кэш сервер для веб, уязвим к атакам по принципу отказа в обслуживании из-за чрезмерного потребления памяти, вызванного утечками памяти в cachemgr.cgi:

• CVE-2012-5643

  squid cachemgr.cgi уязвим к чрезмерному потреблению ресурсов. Удалённый атакующий может использовать эту проблему для осуществления атак по принципу отказа в обслуживании на сервер и другие службы узла.

• CVE-2013-0189

  Оригинальное исправление CVE-2012-5643 было неполным. Удалённый атакующий всё ещё может использовать данную проблему для осуществления атаки по принципу отказа в обслуживании.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.1.6-1.2+squeeze3.

В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 3.1.20-2.1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 3.1.20-2.1.

Рекомендуется обновить пакеты squid3.