• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4122-1 squid3 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4122-1 squid3 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
squid (any) squid3 (any) squid3-common (any) squid3-dbg (any) squid-cgi (any) squidclient (any) squid-common (any) squid-dbg (any) squid-purge (any)
Описание
В Squid3, полнофункциональном кэширующем веб-прокси, было обнаружено
несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:

CVE-2018-1000024
    Луи Дион-Марсиль обнаружил, что Squid неправильно выполняет обработку
    определённых ESI-ответов. Удалённый сервер, передающий определённые
    ESI-ответы с собственным синтаксисом, может использовать эту уязвимость для вызова
    отказа в обслуживании у всех клиентов, обращающихся к службе Squid.
    Данная проблема касается только собственного кода для грамматического разбора ESI в Squid.
    http://www.squid-cache.org/Advisories/SQUID-2018_1.txthttp://www.squid-cache.org/Advisories/SQUID-2018_1.txt">http://www.squid-cache.org/Advisories/SQUID-2018_1.txt /> CVE-2018-1000027
    Луи Дион-Марсиль обнаружил, что Squid уязвим к отказу в обслуживании,
    который возникает при обработке ESI-ответов или загрузке
    сертификатов промежуточных цетров сертификации. Удалённый злоумышленник может использовать
    эту уязвимость для вызова отказа в обслуживании у всех клиентов, обращающихся
    к службе Squid.
    http://www.squid-cache.org/Advisories/SQUID-2018_2.txthttp://www.squid-cache.org/Advisories/SQUID-2018_2.txt">http://www.squid-cache.org/Advisories/SQUID-2018_2.txt />
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 3.4.8-6+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 3.5.23-5+deb9u1.
Рекомендуется обновить пакеты squid3.
С подробным статусом поддержки безопасности squid3 можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/squid3">https://security-tracker.debian.org/tracker/squid3">https://security-tracker.debian.org/tracker/squid3
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
squid - 3.5.23-5+deb9u1
squid-cgi - 3.5.23-5+deb9u1
squid-common - 3.5.23-5+deb9u1
squid-dbg - 3.5.23-5+deb9u1
squid-purge - 3.5.23-5+deb9u1
squid3 - 3.5.23-5+deb9u1
squidclient - 3.5.23-5+deb9u1
Debian GNU/Linux 8:
noarch:
squid-cgi - 3.4.8-6+deb8u5
squid-purge - 3.4.8-6+deb8u5
squid3 - 3.4.8-6+deb8u5
squid3-common - 3.4.8-6+deb8u5
squid3-dbg - 3.4.8-6+deb8u5
squidclient - 3.4.8-6+deb8u5
Ссылки
http://www.debian.org/security/dsa-4122/

Источник: CVE
Наименование: CVE-2018-1000024
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000024

Источник: CVE
Наименование: CVE-2018-1000027
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000027