Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3327-1 squid3

Bulletin d'alerte Debian

DSA-3327-1 squid3 -- Mise à jour de sécurité

Date du rapport :

3 août 2015

Paquets concernés :

squid3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 793128.
Dans le dictionnaire CVE du Mitre : CVE-2015-5400.

Plus de précisions :

Alex Rousskov de The Measurement Factory a découvert que Squid3, un cache de serveur mandataire web riche en fonctionnalités, ne traite pas correctement les réponses des pairs de la méthode CONNECT quand il est configuré avec cache_peer et exploite le trafic d'un mandataire explicite. Cela pourrait permettre à des clients distants d'obtenir un accès non restreint à travers un mandataire passerelle au mandataire principal.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 3.1.20-2.2+deb7u3.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.4.8-6+deb8u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.5.6-1.

Nous vous recommandons de mettre à jour vos paquets squid3.