Risque
- Déni de service
Systèmes affectés
Squid version 2.5.STABLE10 et versions antérieures.
Résumé
Deux vulnérabilités pouvant provoquer un déni de service ont été découvertes dans Squid.
Description
Squid est un logiciel sous licence libre servant de Proxy cache. Deux vulnérabilités ont été découvertes dans ce logiciel.
La première vulnérabilité est due à une erreur présente dans la fonction sslConnectTimeout(). Cette fonction ne gère pas correctement certaines requêtes malformées.
La seconde vulnérabilité est due à une erreur présente dans la fonction storeBuffer(). Là aussi, cette fonction peut être exploitée par le biais d'une requête malformée.
L'exploitation d'une de ces deux vulnérabilités peut entraîner un déni de service.
Solution
Appliquer les correctifs respectifs. Ces correctifs peuvent être fournis par la distribution utilisée (cf. Documentation), ou directement sur le site de l'éditeur :
-
Correctif de la fonction sslConnectTimeout() :
http://www.squid-cache.org/Versions/v2/2.5/bugs/squid-2.5.STABLE10-sslConnectTimeout.patch -
Correctif de la fonction storeBuffer() :
http://www.squid-cache.org/Versions/v2/2.5/bugs/squid-2.5.STABLE10-STORE_PENDING.patch
Documentation
- Bulletin de mises à jour Squid : http://www.squid-cache.org/Versions/v2/2.5/bugs/
- Bulletin de sécurité Debian DSA-809 du 13 septembre 2005 : http://www.debian.org/security/2005/dsa-809
- Bulletin de sécurité FreeBSD : http://www.vuxml.org/freebsd/pkg-squid.html
- Bulletin de sécurité Gentoo GLSA 200509-06 du 07 septembre 2005 : http://www.gentoo.org/security/en/glsa/glsa-200509-06.xml
- Bulletin de sécurité Mandriva MDKSA-2005:162 du 12 septembre 2005 : http://www.mandriva.com/security/advisories?name=MDKSA-2005:162
- Bulletin de sécurité RedHat RHSA-2005:766 du 15 septembre 2005 : http://rhn.redhat.com/errata/RHSA-2005-766.html
- Bulletin de sécurité Suse : http://lists.suse.com/archive/suse-security-announce/2005-Sep/0012.html
- Fedora Core 3 : http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3
- Fedora Core 4 : http://download.fedora.redhat.com/pub/fedora/linux/core/updates/4
- Mises à jour Fedora : Fedora Core 3 : Fedora Core 4 : http://download.fedora.redhat.com/pub/fedora/linux/core/updates/4
- Mises à jour Fedora : Fedora Core 3 : Fedora Core 4 : http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3
- Site de l'éditeur : http://www.squid-cache.org
