Risque
- Déni de service
Systèmes affectés
Versions antérieures à Squid 2.5.8.
Résumé
Une vulnérabilité découverte dans le serveur mandataire (proxy) Squid permet à un utilisateur mal intentionné d'effectuer un déni de service sur le serveur vulnérable.
Description
Squid est un serveur mandataire (proxy) pour plusieurs protocoles dont HTTP, HTTPS et FTP.
Une vulnérabilité présente dans le traitement de certaines réponses DNS (Domain Name System) permet à un utilisateur mal intentionné d'effectuer un déni de service au moyen de réponses DNS malicieusement constituées.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentaion).
Documentation
- Bulletin de sécurité Debian DSA-688 du 23 février 2005 : http://www.debian.org/security/2005/dsa-688
- Bulletin de sécurité FreeBSD pour squid du 03 juin 2005 : http://www.vuxml.org/freebsd/pkg-squid.html
- Bulletin de sécurité Gentoo GLSA-200502-25 du 18 février 2005 : http://www.gentoo.org/security/en/glsa/glsa-200502-25.xml
- Bulletin de sécurité Mandrake MDKSA-2005:047 du 24 février 2005 : http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:047
- Bulletin de sécurité RedHat RHSA-2005:173 du 03 mars 2005 : http://rhn.redhat.com/errata/RHSA-2005-173.html
- Bulletin de sécurité SUSE SUSE-SA:2005:008 du 22 février 2005 : http://www.novell.com/linux/security/advisories/2005_08_squid.html
- Mise à jour de sécurité Fedora Core 2 pour Squid : http://download.fedora.redhat.com/pun/fedora/linux/core/updates/2/
- Mise à jour de sécurité Fedora Core 3 pour Squid : http://download.fedora.redhat.com/pun/fedora/linux/core/updates/3/
- Mise à jour de sécurité du paquetage NetBSD squid : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/squid/README.html
- Site Internet de Squid : http://www.squid-cache.org
