Информация по безопасности / 2016 / Информация о безопасности -- DSA-3745-1 squid3

Рекомендация Debian по безопасности

DSA-3745-1 squid3 -- обновление безопасности

Дата сообщения:

24.12.2016

Затронутые пакеты:

squid3

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 848493.
В каталоге Mitre CVE: CVE-2016-10002.

Более подробная информация:

Саулиус Лапинскас из Фонда социального страхования Литвы обнаружил, что Squid3, полнофункциональный кеширующий веб-прокси, неправильно обрабатывает ответы на условные HTTP-запросы If-None-Modified, что приводит к утечке клиентских данных куки другим клиентам. Удалённый злоумышленник может использовать эту уязвимость для получения закрытой и чувствительной информации о сессиях других клиентов.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 3.4.8-6+deb8u4. Кроме того, данное обновление включает в себя исправление для #819563.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.5.23-1.

Рекомендуется обновить пакеты squid3.