Risque
- Déni de service à distance
Systèmes affectés
- Squid versions 2.6.STABLE6 et antérieures.
Résumé
Deux vulnérabilités présentes dans Squid permettent de réaliser un déni de service.
Description
La première vulnérabilité permet à une personne malveillante de réaliser un déni de service en utilisant une requête FTP spécialement conçue.
Une seconde vulnérabilité se trouve dans la fonction aclMatchExternal et permet à un utilisateur malintentionné de réaliser un déni de service par le biais d'un débordement de la file d'attente external_acl.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Journaux des changements de Squid 2.6.STABLE7 http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE7-RELEASENOTES.html
- Bulletin de sécurité Mandriva MDKSA-2007:026 du 23 janvier 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:026
- Bulletin de sécurité Suse SUSE-SA:2007:012 du 23 janvier 2007 : http://www.novell.com/linux/security/advisories/2007_12_squid.html
- Bulletin de sécurité Ubuntu USN-414-1 du 24 janvier 2007 : http://www.ubuntu.com/usn/usn-414-1
- Référence CVE CVE-2007-0247 https://www.cve.org/CVERecord?id=CVE-2007-0247
- Référence CVE CVE-2007-0248 https://www.cve.org/CVERecord?id=CVE-2007-0248