Bulletin d'alerte Debian
DSA-3625-1 squid3 -- Mise à jour de sécurité
- Date du rapport :
- 22 juillet 2016
- Paquets concernés :
- squid3
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 823968.
Dans le dictionnaire CVE du Mitre : CVE-2016-4051, CVE-2016-4052, CVE-2016-4053, CVE-2016-4054, CVE-2016-4553, CVE-2016-4554, CVE-2016-4555, CVE-2016-4556. - Plus de précisions :
-
Plusieurs problèmes de sécurité ont été découverts dans le serveur mandataire cache Squid.
- CVE-2016-4051:
CESG et Yuriy M. Kaminskiy ont découvert que cachemgr.cgi de Squid était vulnérable à un dépassement de tampon lors du traitement d'entrées fournies à distance relayées par Squid.
- CVE-2016-4052:
CESG a découvert qu'un dépassement de tampon rendait Squid vulnérable à une attaque par déni de service (DoS) lors du traitement de réponses ESI.
- CVE-2016-4053:
CESG a découvert que Squid était vulnérable à une divulgation publique d'informations sur la disposition de la pile du serveur lors du traitement de réponses ESI.
- CVE-2016-4054:
CESG a découvert que Squid était vulnérable à une exécution de code à distance lors du traitement de réponses ESI.
- CVE-2016-4554:
Jianjun Chen a découvert que Squid était vulnérable à une attaque par dissimulation d'en-tête qui pourrait conduire à un empoisonnement de cache et au contournement de la politique de sécurité de même origine dans Squid et certains navigateurs client.
- CVE-2016-4555,
CVE-2016-4556:
"bfek-18" et "@vftable" ont découvert que Squid était vulnérable à une attaque par déni de service (DoS) lors du traitement de réponses ESI, à cause d'une manipulation incorrecte de pointeur et d'un problème de comptage de référence.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.4.8-6+deb8u3.
Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.5.19-1.
Nous vous recommandons de mettre à jour vos paquets squid3.
- CVE-2016-4051: