Risque
- Contournement de la politique de sécurité
Systèmes affectés
- SquidGuard 1.3 ;
- SquidGuard 1.4.
Résumé
Plusieurs vulnérabilités présentes dans SquidGuard permettent à un utilisateur distant malintentionné de contourner la politique de sécurité.
Description
Deux vulnérabilités sont présentes dans SquidGuard :
- la première concerne une fonction du fichier sgLog.c qui, sous certaines conditions, fait passer SquidGuard en mode d'urgence ; ce qui a pour effet de désactiver le filtrage ;
- la seconde vulnérabilité est liée à un problème dans le traitement des URLs de très grande taille qui empêche un filtrage correct des liens analysés.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité de SquidGuard du 15 et du 19 octobre 2009 : http://www.squidguard.org/Downloads/Patches/1.3/Readme.Patch-20091019
- Bulletins de sécurité de SquidGuard du 15 et du 19 octobre 2009 : http://www.squidguard.org/Downloads/Patches/1.3/Readme.Patch-20091015
- Bulletins de sécurité de SquidGuard du 15 et du 19 octobre 2009 : http://www.squidguard.org/Downloads/Patches/1.4/Readme.Patch-20091015
- Bulletins de sécurité de SquidGuard du 15 et du 19 octobre 2009 : http://www.squidguard.org/Downloads/Patches/1.4/Readme.Patch-20091019
- Référence CVE CVE-2009-3700 https://www.cve.org/CVERecord?id=CVE-2009-3700
- Référence CVE CVE-2009-3826 https://www.cve.org/CVERecord?id=CVE-2009-3826
