Bulletin d'alerte Debian

DSA-3625-1 squid3 -- Mise à jour de sécurité

Date du rapport :
22 juillet 2016
Paquets concernés :
squid3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 823968.
Dans le dictionnaire CVE du Mitre : CVE-2016-4051, CVE-2016-4052, CVE-2016-4053, CVE-2016-4054, CVE-2016-4553, CVE-2016-4554, CVE-2016-4555, CVE-2016-4556.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans le serveur mandataire cache Squid.

  • CVE-2016-4051:

    CESG et Yuriy M. Kaminskiy ont découvert que cachemgr.cgi de Squid était vulnérable à un dépassement de tampon lors du traitement d'entrées fournies à distance relayées par Squid.

  • CVE-2016-4052:

    CESG a découvert qu'un dépassement de tampon rendait Squid vulnérable à une attaque par déni de service (DoS) lors du traitement de réponses ESI.

  • CVE-2016-4053:

    CESG a découvert que Squid était vulnérable à une divulgation publique d'informations sur la disposition de la pile du serveur lors du traitement de réponses ESI.

  • CVE-2016-4054:

    CESG a découvert que Squid était vulnérable à une exécution de code à distance lors du traitement de réponses ESI.

  • CVE-2016-4554:

    Jianjun Chen a découvert que Squid était vulnérable à une attaque par dissimulation d'en-tête qui pourrait conduire à un empoisonnement de cache et au contournement de la politique de sécurité de même origine dans Squid et certains navigateurs client.

  • CVE-2016-4555, CVE-2016-4556:

    "bfek-18" et "@vftable" ont découvert que Squid était vulnérable à une attaque par déni de service (DoS) lors du traitement de réponses ESI, à cause d'une manipulation incorrecte de pointeur et d'un problème de comptage de référence.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.4.8-6+deb8u3.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.5.19-1.

Nous vous recommandons de mettre à jour vos paquets squid3.