Thông tin về bảo mật / 2015 / Thông tin bảo mật -- DSA-3327-1 squid3

Cố vấn bảo mật Debian

DSA-3327-1 squid3 -- cập nhật bảo mật

Ngày báo cáo:

03 Th8 2015

Gói chịu tác động:

squid3

Có thể bị tấn công:

Có

Tham khảo cơ sở dữ liệu bảo mật:

Trong hệ thống báo lỗi Debian: Lỗi 793128.
Trong từ điển CVE của Miter: CVE-2015-5400.

Thêm thông tin:

Alex Rousskov của The Measurement Factory đã khám phá ra rằng Squid3, một ứng dụng đệm ủy nhiệm web đầy đủ tính năng, đã không xử lý phương thức CONNECT một cách đúng đắn cho đáp ứng peer khi được cấu hình với cache_peer và thao tác trên lưu thông ủy nhiệm rõ ràng. Lỗi này có thể cho phép các máy tính khách trên mạng được hưởng lợi truy cập không hạn chế qua một máy ủy nhiệm cổng ra đến dịch vụ ủy nhiệm của nó.

Với bản phân phối ổn định cũ (wheezy), lỗi này đã được sửa trong phiên bản 3.1.20-2.2+deb7u3.

Với bản phân phối ổn định (jessie), lỗi này đã được sửa trong phiên bản 3.4.8-6+deb8u1.

Với bản phân phối chưa ổn định (sid), lỗi này đã được sửa trong phiên bản 3.5.6-1.

Chúng tôi khuyên bạn nên nâng cấp các gói squid3 của mình.