Argitalpen data: 2019/11/11
Garrantzia: Altua
Kaltetutako baliabideak:
Squid-en ondoko bertsioak:
- 2.x-etik 2.7.STABLE9ra bitartekoak;
- 3.x-etik 3.5.28ra bitartekoak;
- 4.x-etik 4.8ra bitartekoak.
Azalpena:
Bost ahultasun aurkitu dira Squid proxy zerbitzariaren hainbat bertsiotan.
Konponbidea:
4.9 bertsiora eguneratzea.
Xehetasuna:
- Bufferraren kudeaketa desegokia baliatuz, erasotzaile batek pilaren gainezkatzea eragin lezake eta kodea urrunetik exekutatu URN prozesaketan. Ahultasun horretarako CVE-2019-12526 identifikatzailea erreserbatu da.
- Sarrera datuen baliozkotze desegokia baliatuz, erasotzaile batek segurtasun mekanismoak saihets litzake murriztutako HTTP zerbitzarietara sarbidea lortzeko. Ahultasun horretarako CVE-2019-12523 identifikatzailea erreserbatu da.
- Sarrera datuen baliozkotze desegokia baliatuz, erasotzaile batek bufferraren gainezkatzea eragin lezake zerbitzuaren ukapen egoera sortzeko. Ahultasun horretarako CVE-2019-12523 identifikatzailea erreserbatu da.
- append_domain-ekin konfiguratuta dagoenean Squid-ek mezuak modu desegokian prozesatzen dituenez, trafikoa jatorri desegokietara birbidera liteke. Ahultasun horretarako CVE-2019-18677 identifikatzailea erreserbatu da.
- Mezuen analisi okerraren ondorioz HTTP eskarien zatiketa arazo bat sor liteke. Ahultasun horretarako CVE-2019-18678 identifikatzailea erreserbatu da.
- Datuen kudeaketa okerra baliatuz, erasotzaile batek informazioa ezagutzera eman lezake HTTP Digest Authentication prozesatzean. Ahultasun horretarako CVE-2019-18679 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Ahultasuna