Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
squid
(any)
squid3
(any)
squid3-common
(any)
squid3-dbg
(any)
squid-cgi
(any)
squidclient
(any)
squid-common
(any)
squid-dbg
(any)
squid-purge
(any)
Описание
В Squid3, полнофункциональном кэширующем веб-прокси, было обнаружено
несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2018-1000024
Луи Дион-Марсиль обнаружил, что Squid неправильно выполняет обработку
определённых ESI-ответов. Удалённый сервер, передающий определённые
ESI-ответы с собственным синтаксисом, может использовать эту уязвимость для вызова
отказа в обслуживании у всех клиентов, обращающихся к службе Squid.
Данная проблема касается только собственного кода для грамматического разбора ESI в Squid.
http://www.squid-cache.org/Advisories/SQUID-2018_1.txt
http://www.squid-cache.org/Advisories/SQUID-2018_1.txt">http://www.squid-cache.org/Advisories/SQUID-2018_1.txt
/> CVE-2018-1000027
Луи Дион-Марсиль обнаружил, что Squid уязвим к отказу в обслуживании,
который возникает при обработке ESI-ответов или загрузке
сертификатов промежуточных цетров сертификации. Удалённый злоумышленник может использовать
эту уязвимость для вызова отказа в обслуживании у всех клиентов, обращающихся
к службе Squid.
http://www.squid-cache.org/Advisories/SQUID-2018_2.txt
http://www.squid-cache.org/Advisories/SQUID-2018_2.txt">http://www.squid-cache.org/Advisories/SQUID-2018_2.txt
/>
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 3.4.8-6+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 3.5.23-5+deb9u1.
Рекомендуется обновить пакеты squid3.
С подробным статусом поддержки безопасности squid3 можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/squid3">https://security-tracker.debian.org/tracker/squid3">https://security-tracker.debian.org/tracker/squid3
несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2018-1000024
Луи Дион-Марсиль обнаружил, что Squid неправильно выполняет обработку
определённых ESI-ответов. Удалённый сервер, передающий определённые
ESI-ответы с собственным синтаксисом, может использовать эту уязвимость для вызова
отказа в обслуживании у всех клиентов, обращающихся к службе Squid.
Данная проблема касается только собственного кода для грамматического разбора ESI в Squid.
http://www.squid-cache.org/Advisories/SQUID-2018_1.txt
http://www.squid-cache.org/Advisories/SQUID-2018_1.txt">http://www.squid-cache.org/Advisories/SQUID-2018_1.txt
/> CVE-2018-1000027
Луи Дион-Марсиль обнаружил, что Squid уязвим к отказу в обслуживании,
который возникает при обработке ESI-ответов или загрузке
сертификатов промежуточных цетров сертификации. Удалённый злоумышленник может использовать
эту уязвимость для вызова отказа в обслуживании у всех клиентов, обращающихся
к службе Squid.
http://www.squid-cache.org/Advisories/SQUID-2018_2.txt
http://www.squid-cache.org/Advisories/SQUID-2018_2.txt">http://www.squid-cache.org/Advisories/SQUID-2018_2.txt
/>
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 3.4.8-6+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 3.5.23-5+deb9u1.
Рекомендуется обновить пакеты squid3.
С подробным статусом поддержки безопасности squid3 можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/squid3">https://security-tracker.debian.org/tracker/squid3">https://security-tracker.debian.org/tracker/squid3
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
squid - 3.5.23-5+deb9u1
squid-cgi - 3.5.23-5+deb9u1
squid-common - 3.5.23-5+deb9u1
squid-dbg - 3.5.23-5+deb9u1
squid-purge - 3.5.23-5+deb9u1
squid3 - 3.5.23-5+deb9u1
squidclient - 3.5.23-5+deb9u1
Debian GNU/Linux 8:
noarch:
squid-cgi - 3.4.8-6+deb8u5
squid-purge - 3.4.8-6+deb8u5
squid3 - 3.4.8-6+deb8u5
squid3-common - 3.4.8-6+deb8u5
squid3-dbg - 3.4.8-6+deb8u5
squidclient - 3.4.8-6+deb8u5
Debian GNU/Linux 9:
noarch:
squid - 3.5.23-5+deb9u1
squid-cgi - 3.5.23-5+deb9u1
squid-common - 3.5.23-5+deb9u1
squid-dbg - 3.5.23-5+deb9u1
squid-purge - 3.5.23-5+deb9u1
squid3 - 3.5.23-5+deb9u1
squidclient - 3.5.23-5+deb9u1
Debian GNU/Linux 8:
noarch:
squid-cgi - 3.4.8-6+deb8u5
squid-purge - 3.4.8-6+deb8u5
squid3 - 3.4.8-6+deb8u5
squid3-common - 3.4.8-6+deb8u5
squid3-dbg - 3.4.8-6+deb8u5
squidclient - 3.4.8-6+deb8u5
Ссылки
http://www.debian.org/security/dsa-4122/
Источник: CVE
Наименование: CVE-2018-1000024
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000024
Источник: CVE
Наименование: CVE-2018-1000027
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000027
Источник: CVE
Наименование: CVE-2018-1000024
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000024
Источник: CVE
Наименование: CVE-2018-1000027
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000027