Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3625-1 squid3

Debians sikkerhedsbulletin

DSA-3625-1 squid3 -- sikkerhedsopdatering

Rapporteret den:

22. jul 2016

Berørte pakker:

squid3

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 823968.
I Mitres CVE-ordbog: CVE-2016-4051, CVE-2016-4052, CVE-2016-4053, CVE-2016-4054, CVE-2016-4553, CVE-2016-4554, CVE-2016-4555, CVE-2016-4556.

Yderligere oplysninger:

Flere sikkerhedsproblemer blev opdaget i caching-proxy'en Squid.

• CVE-2016-4051:

  CESG og Yuriy M. Kaminskiy opdagede at Squids cachemgr.cgi var sårbar over for et bufferoverløb, når der blev behandlet fjernleverede inddata gennem Squid.

• CVE-2016-4052:

  CESG opdagede at et bufferoverløb gjorde Squid sårbar over for et lammelsesangreb (denial of Service, DoS), når der blev behandlet ESI-svar.

• CVE-2016-4053:

  CESG opdagede at Squid var sårbar over for offentliggørelse af serverstaklayoutet, når der blev behandlet ESI-svar.

• CVE-2016-4054:

  CESG opdagede at Squid var sårbar over for fjernudførelse af kode, når der blev behandlet ESI-svar.

• CVE-2016-4554:

  Jianjun Chen opdagede at Squid var sårbar over for et headersmuglingsangreb, som kunne føre til cacheforgiftning og til omgåelse af samme ophav-sikkerhedspolicy i Squid og nogle klientbrowsere.

• CVE-2016-4555, CVE-2016-4556:

  bfek-18 og @vftable opdagede at Squid var sårbar over for et lammelsesangreb (DoS), når der blev behandlet ESI-svar, på grund af ukorrekt pointerhåndtering og referenceoptælling.

I den stabile distribution (jessie), er disse problemer rettet i version 3.4.8-6+deb8u3.

I distributionen testing (stretch) og i den ustabile distribution (sid), er disse problemer rettte i version 3.5.19-1.

Vi anbefaler at du opgraderer dine squid3-pakker.