Информация по безопасности / 2015 / Информация о безопасности -- DSA-3327-1 squid3

Рекомендация Debian по безопасности

DSA-3327-1 squid3 -- обновление безопасности

Дата сообщения:

03.08.2015

Затронутые пакеты:

squid3

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 793128.
В каталоге Mitre CVE: CVE-2015-5400.

Более подробная информация:

Алекс Руссков из The Measurement Factory обнаружил, что Squid3, полнофункциональный кэширующий веб-прокси, неправильно обрабатывает ответы участников обмена по методу CONNECT при использовании параметра настройки cache_peer и работе с трафиком явного прокси. Эта уязвимость может позволить удалённым клиентам получить неограниченный доступ через шлюзовой прокси к прокси-движку.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 3.1.20-2.2+deb7u3.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 3.4.8-6+deb8u1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.5.6-1.

Рекомендуется обновить пакеты squid3.