Vulnérabilités de Squid

Gestion du document

Référence	CERTA-2007-AVI-035-001
Titre	Vulnérabilités de Squid
Date de la première version	18 janvier 2007
Date de la dernière version	29 janvier 2007
Source(s)	Journaux des changements de Squid 2.6.STABLE7
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service à distance.

Systèmes affectés

Squid versions 2.6.STABLE6 et antérieures.

Résumé

Deux vulnérabilités présentes dans Squid permettent de réaliser un déni de service.

Description

La première vulnérabilité permet à une personne malveillante de réaliser un déni de service en utilisant une requête FTP spécialement conçue.

Une seconde vulnérabilité se trouve dans la fonction aclMatchExternal et permet à un utilisateur malintentionné de réaliser un déni de service par le biais d'un débordement de la file d'attente external_acl.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Journaux des changements de Squid 2.6.STABLE7 :

http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE7-RELEASENOTES.html

Référence CVE CVE-2007-0247 :

https://www.cve.org/CVERecord?id=CVE-2007-0247

Référence CVE CVE-2007-0248 :

https://www.cve.org/CVERecord?id=CVE-2007-0248

Bulletin de sécurité Suse SUSE-SA:2007:012 du 23 janvier 2007 :

http://www.novell.com/linux/security/advisories/2007_12_squid.html

Bulletin de sécurité Mandriva MDKSA-2007:026 du 23 janvier 2007 :
```
http://www.mandriva.com/security/advisories?name=MDKSA-2007:026
```
Bulletin de sécurité Ubuntu USN-414-1 du 24 janvier 2007 :
```
http://www.ubuntu.com/usn/usn-414-1
```

Gestion détaillée du document

le 18 janvier 2007: version initiale.

le 29 janvier 2007: ajout des références aux bulletins de sécurité de Suse, Mandriva et Ubuntu.

Avis du CERT-FR

Objet: Vulnérabilités de Squid