Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3625-1 squid3

Säkerhetsbulletin från Debian

DSA-3625-1 squid3 -- säkerhetsuppdatering

Rapporterat den:

2016-07-22

Berörda paket:

squid3

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 823968.
I Mitres CVE-förteckning: CVE-2016-4051, CVE-2016-4052, CVE-2016-4053, CVE-2016-4054, CVE-2016-4553, CVE-2016-4554, CVE-2016-4555, CVE-2016-4556.

Ytterligare information:

Flera säkerhetsproblem har upptäckts i Squid caching proxy.

• CVE-2016-4051:

  CESG och Yuriy M. Kaminskiy upptäckte att Squid cachemgr.cgi var sårbar för ett buffertspill vid behandling av fjärrtillhandahållen indata som skickats vidare via Squid.

• CVE-2016-4052:

  >CESG upptäckte att ett buffertspill gjorde Squid sårbart för ett överbelastningsangrepp (DoS) vid behandling av ESI-svar.

• CVE-2016-4053:

  CESG upptäckte att Squid var sårbar för publikt avslöjande av information av serverstackens layout vid behandling av ESI-svar.

• CVE-2016-4054:

  CESG upptäckte att Squid var sårbart för körning av fjärrkod vid behandling av ESI-svar.

• CVE-2016-4554:

  Jianjun Chen upptäckte att Squid var sårbart för rubrik-smugglingsangrepp vilket kunde leda till cache-förgiftning och förbigång av säkerhetspolicyn same-origin i Squid och några klientläsare.

• CVE-2016-4555, CVE-2016-4556:

  "bfek-18" och "@vftable" upptäckte att Squid var sårbart för ett överbelastningsangrepp (DoS) vid behandling av ESI-svar, på grund av felaktig pekarhantering och referensräkning.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 3.4.8-6+deb8u3.

För uttestningsutgåvan (Stretch) och den instabila distributionen (Sid), har dessa problem rättats i version 3.5.19-1.

Vi rekommenderar att ni uppgraderar era squid3-paket.