Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4122-1 squid3

Säkerhetsbulletin från Debian

DSA-4122-1 squid3 -- säkerhetsuppdatering

Rapporterat den:

2018-02-23

Berörda paket:

squid3

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 888719, Fel 888720.
I Mitres CVE-förteckning: CVE-2018-1000024, CVE-2018-1000027.

Ytterligare information:

Flera sårbarheter har upptäckts i Squid3, en fullfjädrad webbproxycache. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2018-1000024

  Louis Dion-Marcil upptäckte att Squid inte hanterar behandling av vissa ESI-svar ordentligt. En fjärrserver som levererar viss ESI-svarsyntax kan dra fördel av denna brist för att orsaka en överbelastning för alla klienter med åtkomst till Squid-tjänsten. Detta problem är begränsat till tolken av Squid anpassad ESI.

  http://www.squid-cache.org/Advisories/SQUID-2018_1.txt

• CVE-2018-1000027

  Louis Dion-Marcil upptäckte att Squid är sårbar för en överbelastningssårbarhet vid behandling av ESI-svar eller hämtning av mellanliggande CA-certifikat. En fjärrangripare kan dra fördel av denna brist för att orsaka en överbelastning för alla klienter med åtkomst till Squid-tjänsten.

  http://www.squid-cache.org/Advisories/SQUID-2018_2.txt

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 3.4.8-6+deb8u5.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 3.5.23-5+deb9u1.

Vi rekommenderar att ni uppgraderar era squid3-paket.

För detaljerad säkerhetsstatus om squid3 vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/squid3