S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 03 novembre 2009
N° CERTA-2009-AVI-468
Affaire suivie par: CERT-FR
le 03 novembre 2009

Avis du CERT-FR

Objet: Multiples vulnérabilités dans SquidGuard

Gestion du document

Référence CERTA-2009-AVI-468
Titre Multiples vulnérabilités dans SquidGuard
Date de la première version 03 novembre 2009
Date de la dernière version 03 novembre 2009
Source(s) Bulletins de sécurité SquidGuard du 15 et 19 octobre 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • SquidGuard 1.3 ;
  • SquidGuard 1.4.

Résumé

Plusieurs vulnérabilités présentes dans SquidGuard permettent à un utilisateur distant malintentionné de contourner la politique de sécurité.

Description

Deux vulnérabilités sont présentes dans SquidGuard :

  • la première concerne une fonction du fichier sgLog.c qui, sous certaines conditions, fait passer SquidGuard en mode d'urgence ; ce qui a pour effet de désactiver le filtrage ;
  • la seconde vulnérabilité est liée à un problème dans le traitement des URLs de très grande taille qui empêche un filtrage correct des liens analysés.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 03 novembre 2009
    version initiale.