Bulletin d'alerte Debian
DSA-3139-1 squid -- Mise à jour de sécurité
- Date du rapport :
- 25 janvier 2015
- Paquets concernés :
- squid
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 776194.
Dans le dictionnaire CVE du Mitre : CVE-2014-3609. - Plus de précisions :
-
Matthew Daley a découvert que squid, un cache de serveur mandataire web, ne réalise pas correctement les validations d'entrée lors de l'analyse des requêtes. Un attaquant distant pourrait utiliser ce défaut pour organiser une attaque par déni de service, en envoyant des requêtes d'intervalle (« Range requests ») contrefaites pour l'occasion.
Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.7.STABLE9-4.1+deb7u1.
Nous vous recommandons de mettre à jour vos paquets squid.