Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3139-1 squid

Bulletin d'alerte Debian

DSA-3139-1 squid -- Mise à jour de sécurité

Date du rapport :

25 janvier 2015

Paquets concernés :

squid

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 776194.
Dans le dictionnaire CVE du Mitre : CVE-2014-3609.

Plus de précisions :

Matthew Daley a découvert que squid, un cache de serveur mandataire web, ne réalise pas correctement les validations d'entrée lors de l'analyse des requêtes. Un attaquant distant pourrait utiliser ce défaut pour organiser une attaque par déni de service, en envoyant des requêtes d'intervalle (« Range requests ») contrefaites pour l'occasion.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.7.STABLE9-4.1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets squid.