Bulletin d'alerte Debian

DSA-3625-1 squid3 -- Mise à jour de sécurité

Date du rapport :

22 juillet 2016

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans le serveur mandataire cache Squid.

CVE-2016-4051:
CESG et Yuriy M. Kaminskiy ont découvert que cachemgr.cgi de Squid était vulnérable à un dépassement de tampon lors du traitement d'entrées fournies à distance relayées par Squid.
CVE-2016-4052:
CESG a découvert qu'un dépassement de tampon rendait Squid vulnérable à une attaque par déni de service (DoS) lors du traitement de réponses ESI.
CVE-2016-4053:
CESG a découvert que Squid était vulnérable à une divulgation publique d'informations sur la disposition de la pile du serveur lors du traitement de réponses ESI.
CVE-2016-4054:
CESG a découvert que Squid était vulnérable à une exécution de code à distance lors du traitement de réponses ESI.
CVE-2016-4554:
Jianjun Chen a découvert que Squid était vulnérable à une attaque par dissimulation d'en-tête qui pourrait conduire à un empoisonnement de cache et au contournement de la politique de sécurité de même origine dans Squid et certains navigateurs client.
CVE-2016-4555, CVE-2016-4556:
"bfek-18" et "@vftable" ont découvert que Squid était vulnérable à une attaque par déni de service (DoS) lors du traitement de réponses ESI, à cause d'une manipulation incorrecte de pointeur et d'un problème de comptage de référence.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.4.8-6+deb8u3.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.5.19-1.

Nous vous recommandons de mettre à jour vos paquets squid3.