Objet: Vulnérabilité dans Squid

Risque

Déni de service.

Systèmes affectés

Versions antérieures à Squid 2.5.8.

Résumé

Une vulnérabilité découverte dans le serveur mandataire (proxy) Squid permet à un utilisateur mal intentionné d'effectuer un déni de service sur le serveur vulnérable.

Description

Squid est un serveur mandataire (proxy) pour plusieurs protocoles dont HTTP, HTTPS et FTP.

Une vulnérabilité présente dans le traitement de certaines réponses DNS (Domain Name System) permet à un utilisateur mal intentionné d'effectuer un déni de service au moyen de réponses DNS malicieusement constituées.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentaion).

Documentation

• Site Internet de Squid :

  http://www.squid-cache.org
  

• Bulletin de sécurité Gentoo GLSA-200502-25 du 18 février 2005 :

  http://www.gentoo.org/security/en/glsa/glsa-200502-25.xml
  

• Bulletin de sécurité SUSE SUSE-SA:2005:008 du 22 février 2005 :

  http://www.novell.com/linux/security/advisories/2005_08_squid.html
  

• Bulletin de sécurité Debian DSA-688 du 23 février 2005 :

  http://www.debian.org/security/2005/dsa-688
  

• Bulletin de sécurité Mandrake MDKSA-2005:047 du 24 février 2005 :

  http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:047
  

• Mise à jour de sécurité Fedora Core 2 pour Squid :

  http://download.fedora.redhat.com/pun/fedora/linux/core/updates/2/
  

• Mise à jour de sécurité Fedora Core 3 pour Squid :

  http://download.fedora.redhat.com/pun/fedora/linux/core/updates/3/
  

• Mise à jour de sécurité du paquetage NetBSD squid :

  ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/squid/README.html
  

• Bulletin de sécurité RedHat RHSA-2005:173 du 03 mars 2005 :

  http://rhn.redhat.com/errata/RHSA-2005-173.html
  

• Bulletin de sécurité FreeBSD pour squid du 03 juin 2005 :

  http://www.vuxml.org/freebsd/pkg-squid.html
  

• Référence CVE CAN-2005-0446 :

  https://www.cve.org/CVERecord?id=CAN-2005-0446