Информация по безопасности / 2018 / Информация о безопасности -- DSA-4122-1 squid3

Рекомендация Debian по безопасности

DSA-4122-1 squid3 -- обновление безопасности

Дата сообщения:

23.02.2018

Затронутые пакеты:

squid3

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 888719, Ошибка 888720.
В каталоге Mitre CVE: CVE-2018-1000024, CVE-2018-1000027.

Более подробная информация:

В Squid3, полнофункциональном кэширующем веб-прокси, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2018-1000024

  Луи Дион-Марсиль обнаружил, что Squid неправильно выполняет обработку определённых ESI-ответов. Удалённый сервер, передающий определённые ESI-ответы с собственным синтаксисом, может использовать эту уязвимость для вызова отказа в обслуживании у всех клиентов, обращающихся к службе Squid. Данная проблема касается только собственного кода для грамматического разбора ESI в Squid.

  http://www.squid-cache.org/Advisories/SQUID-2018_1.txt

• CVE-2018-1000027

  Луи Дион-Марсиль обнаружил, что Squid уязвим к отказу в обслуживании, который возникает при обработке ESI-ответов или загрузке сертификатов промежуточных цетров сертификации. Удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании у всех клиентов, обращающихся к службе Squid.

  http://www.squid-cache.org/Advisories/SQUID-2018_2.txt

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 3.4.8-6+deb8u5.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 3.5.23-5+deb9u1.

Рекомендуется обновить пакеты squid3.

С подробным статусом поддержки безопасности squid3 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/squid3