Risque
- Contournement de la politique de sécurité
Systèmes affectés
Squid versions 2.5.STABLE4 et antérieures.
Résumé
Deux vulnérabilités dans Squid permettent à un utilisateur mal intentionné de contourner la politique de sécurité mise en place.
Description
Squid est un serveur mandataire (proxy) pour les protocoles HTTP, HTTPS et FTP. Deux vulnérabilités ont été identifiées dans Squid permettant à un utilisateur mal intentionné de contourner la politique de sécurité, notamment de contourner les contrôles d'accès basés sur la directive url_regex.
Solution
Mettre à jour Squid en version 2.5.STABLE5 ou appliquer le correctif fournit par l'éditeur :
-
Site pour le téléchargement de Squid :
http://www.squid-cache.org/Versions/v2/2.5/ -
Bulletin de sécurité RHSA-2004:133 pour Red Hat :
http://rhn.redhat.com/errata/RHSA-2004-133.html -
Bulletin de sécurité RHSA-2004:134 pour Red Hat :
http://rhn.redhat.com/errata/RHSA-2004-134.html -
Bulletin de sécurité MDKSA-2004:025 de Mandrake :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:025 -
Bulletin de sécurité GLSA 200403-11 de Gentoo :
http://www.securityfocus.com/advisories/6495 -
Bulletin de sécurité DSA-474 de Debian :
http://www.debian.org/security/2004/dsa-474 -
Bulletin de sécurité SGI 20040404-01-U du 21 avril 2004 :
ftp://patches.sgi.com/support/free/security/advisories/20040404-01-U.asc
Note : pour vérifier la version de Squid, taper la commande :
squid -v
Documentation
- Avis de sécurité de Squid SQUID-2004:1 http://www.squid-cache.org/Advisories/SQUID-2004_1.txt
- Avis de sécurité FreeBSD du 26 mars mars 2004 : http://www.vuxml.org/freebsd/
- Mise à jour de sécurité du paquetage NetBSD squid : ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities
