Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3327-1 squid3

Säkerhetsbulletin från Debian

DSA-3327-1 squid3 -- säkerhetsuppdatering

Rapporterat den:

2015-08-03

Berörda paket:

squid3

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 793128.
I Mitres CVE-förteckning: CVE-2015-5400.

Ytterligare information:

Alex Rousskov från Measurement Factory upptäckte att Squid3, en fullutrustad webbproxycache, inte hanterar peer-svar till CONNECT-metoden ordentligt när den är konfigurerad med cache_peer och kör på explicit proxy-trafik. Detta kunde tillåta fjärrangripare att få obegränsad åtkomst genom en gateway-proxy till dess backend-proxy.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 3.1.20-2.2+deb7u3.

För den stabila utgåvan (Jessie) har detta problem rättats i version 3.4.8-6+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.5.6-1.

Vi rekommenderar att ni uppgraderar era squid3-paket.