Debians sikkerhedsbulletin

DSA-4805-1 trafficserver -- sikkerhedsopdatering

Rapporteret den:
7. dec 2020
Berørte pakker:
trafficserver
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2020-17508, CVE-2020-17509.
Yderligere oplysninger:

To sårbarheder blev opdaget i Apache Traffic Server, en reverse- og forwardproxyserver:

  • CVE-2020-17508

    ESI-plugin'en var sårbar over for hukommelsesafsløring.

  • CVE-2020-17509

    Valgmuligheden til negativ cache var sårbar over for cacheforgiftning.

I den stabile distribution (buster), er disse problemer rettet i version 8.0.2+ds-1+deb10u4.

Vi anbefaler at du opgraderer dine trafficserver-pakker.

For detaljeret sikkerhedsstatus vedrørende trafficserver, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/trafficserver