Debians sikkerhedsbulletin
DSA-3745-1 squid3 -- sikkerhedsopdatering
- Rapporteret den:
- 24. dec 2016
- Berørte pakker:
- squid3
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 848493.
I Mitres CVE-ordbog: CVE-2016-10002. - Yderligere oplysninger:
-
Saulius Lapinskas fra Lithuanian State Social Insurance Fund Board opdagede at Squid3, en komplet webproxycache, ikke på korrekt vis behandlede svar til betingede If-None-Modified-HTTP-forespørgsler, førende til at klientspecifikke cookiedata blev lækket til andre klienter. En fjernangriber kunne drage nytte af fejlen til at opdage private og følsomme oplysninger om andre klienters browsingsessioner.
I den stabile distribution (jessie), er dette problem rettet i version 3.4.8-6+deb8u4. Desuden indeholder opdateringen en rettelse af #819563.
I den ustabile distribution (sid), er dette problem rettet i version 3.5.23-1.
Vi anbefaler at du opgraderer dine squid3-pakker.