Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3327-1 squid3

Debians sikkerhedsbulletin

DSA-3327-1 squid3 -- sikkerhedsopdatering

Rapporteret den:

3. aug 2015

Berørte pakker:

squid3

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 793128.
I Mitres CVE-ordbog: CVE-2015-5400.

Yderligere oplysninger:

Alex Rousskov fra The Measurement Factory opdagede at Squid3, en komplet webproxycache, ikke på korrekt vis håndterede CONNECT-metodens peersvar, når opsat med cachepeer og reagerende på eksplicit proxytrafik. Dermed kunne det være muligt for fjerne klienter at opnå ubegrænset adgang gennem en gatewayproxy, til dens backendproxy.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 3.1.20-2.2+deb7u3.

I den stabile distribution (jessie), er dette problem rettet i version 3.4.8-6+deb8u1.

I den ustabile distribution (sid), er dette problem rettet i version 3.5.6-1.

Vi anbefaler at du opgraderer dine squid3-pakker.