Säkerhetsbulletin från Debian
DSA-3745-1 squid3 -- säkerhetsuppdatering
- Rapporterat den:
- 2016-12-24
- Berörda paket:
- squid3
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 848493.
I Mitres CVE-förteckning: CVE-2016-10002. - Ytterligare information:
-
Saulius Lapinskas från Litauens Statliga Socialförsäkringsfondstyrelse upptäckte att Squid3, en fullt utrustad webproxycache inte behandlar svar till If-None-Modified HTTP-konditionella förfrågningar ordenligt, vilket kan leda till till att klientspecifik kakdata läcker till andra klienter. En fjärrangripare kan dra fördel av denna brist för att upptäcka privat och känslig information om andra klienters browsersession.
För den stabila utgåvan (Jessie) har detta problem rättats i version 3.4.8-6+deb8u4. In addition, this update includes a fix for #819563.
För den instabila utgåvan (Sid) har detta problem rättats i version 3.5.23-1.
Vi rekommenderar att ni uppgraderar era squid3-paket.