Рекомендация Debian по безопасности

DSA-3745-1 squid3 -- обновление безопасности

Дата сообщения:
24.12.2016
Затронутые пакеты:
squid3
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 848493.
В каталоге Mitre CVE: CVE-2016-10002.
Более подробная информация:

Саулиус Лапинскас из Фонда социального страхования Литвы обнаружил, что Squid3, полнофункциональный кеширующий веб-прокси, неправильно обрабатывает ответы на условные HTTP-запросы If-None-Modified, что приводит к утечке клиентских данных куки другим клиентам. Удалённый злоумышленник может использовать эту уязвимость для получения закрытой и чувствительной информации о сессия других клиентов.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 3.4.8-6+deb8u4. Кроме того, данное обновление включает в себя исправление для #819563.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.5.23-1.

Рекомендуется обновить пакеты squid3.