Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 04 février 2009

N° CERTA-2009-AVI-047

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Squid

Gestion du document

Référence	CERTA-2009-AVI-047
Titre	Vulnérabilité dans Squid
Date de la première version	04 février 2009
Date de la dernière version	06 mars 2009
Source(s)	Bulletin de sécurité Squid 2009:1 du 02 février 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service à distance

Systèmes affectés

Squid 2.7 jusqu'à la version 2.7.STABLE5 ;
Squid 3.0 jusqu'à la version 3.0.STABLE12 ;
Squid 3.1 jusqu'à la version 3.1.0.4.

Résumé

Une vulnérabilité dans le traitement des requêtes HTTP permettant un déni de service à distance a été corrigée.

Description

Une vulnérabilité dans le traitement des numéros de version du protocole HTTP utilisé permet à un utilisateur malintentionné de provoquer un déni de service à distance à l'aide d'une requête spécialement réalisée.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Squid 2009:1 du 02 février 2009

http://www.squid-cache.org/Advisories/SQUID-2009_1.txt

Bulletin de sécurité Debian DSA-1732 du 03 mars 2009 :

http://www.debian.org/security/2009/dsa-1732

Bulletin de sécurité SuSE SuSE-SR:2009:005 du 02 mars 2009 :

http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00000.html

Bulletin de sécurité Ubuntu USN-724-1 du 25 février 2009 :

http://www.ubuntu.com/usn/usn-724-1

Référence CVE CVE-2009-0478

https://www.cve.org/CVERecord?id=CVE-2009-0478

Gestion détaillée du document

le 04 février 2009: version initiale.
le 06 mars 2009: ajout de la référence CVE et des bulletins de sécurité Debian, SuSE et Ubuntu.