Sikkerhedsoplysninger / 2018 / Sikkerhedsoplysninger -- DSA-4122-1 squid3

Debians sikkerhedsbulletin

DSA-4122-1 squid3 -- sikkerhedsopdatering

Rapporteret den:

23. feb 2018

Berørte pakker:

squid3

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 888719, Fejl 888720.
I Mitres CVE-ordbog: CVE-2018-1000024, CVE-2018-1000027.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Squid3, en komplet webproxycache. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2018-1000024

  Louis Dion-Marcil opdagede at Squid ikke på korrekt vis håndterede behandlingen af visse ESI-svar. En fjern server, som leverer bestemte ESI-svarsyntakser, kunne drage nytte af fejlen til at forårsage et lammelsesangreb mod alle klienter, der tilgå Squid-tjensten. Problemet er bgrænset til Squids skræddersyede ESI-fortolker.

  http://www.squid-cache.org/Advisories/SQUID-2018_1.txt

• CVE-2018-1000027

  Louis Dion-Marcil opdagede at Squid var ramt af en lammelsesangrebsårbarhed, når der blev behandlet ESI-svar eller hentet mellemmands-CA-certifikater. En fjernangriber kunne drage nytte af fejlen til at forårsage et lammelsesangreb mod alle klienter, der tilgår Squid-tjensten.

  http://www.squid-cache.org/Advisories/SQUID-2018_2.txt

I den gamle stabile distribution (jessie), er disse problemer rettet i version 3.4.8-6+deb8u5.

I den stabile distribution (stretch), er disse problemer rettet i version 3.5.23-5+deb9u1.

Vi anbefaler at du opgraderer dine squid3-pakker.

For detaljeret sikkerhedsstatus vedrørende squid3, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/squid3