Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/11/11

Garrantzia: Altua

Kaltetutako baliabideak: 

Squid-en ondoko bertsioak:

• 2.x-etik 2.7.STABLE9ra bitartekoak;
• 3.x-etik 3.5.28ra bitartekoak;
• 4.x-etik 4.8ra bitartekoak.

Azalpena: 

Bost ahultasun aurkitu dira Squid proxy zerbitzariaren hainbat bertsiotan.

Konponbidea: 

4.9 bertsiora eguneratzea.

Xehetasuna: 

• Bufferraren kudeaketa desegokia baliatuz, erasotzaile batek pilaren gainezkatzea eragin lezake eta kodea urrunetik exekutatu URN prozesaketan. Ahultasun horretarako CVE-2019-12526 identifikatzailea erreserbatu da.
• Sarrera datuen baliozkotze desegokia baliatuz, erasotzaile batek segurtasun mekanismoak saihets litzake murriztutako HTTP zerbitzarietara sarbidea lortzeko. Ahultasun horretarako CVE-2019-12523 identifikatzailea erreserbatu da.
• Sarrera datuen baliozkotze desegokia baliatuz, erasotzaile batek bufferraren gainezkatzea eragin lezake zerbitzuaren ukapen egoera sortzeko. Ahultasun horretarako CVE-2019-12523 identifikatzailea erreserbatu da.
• append_domain-ekin konfiguratuta dagoenean Squid-ek mezuak modu desegokian prozesatzen dituenez, trafikoa jatorri desegokietara birbidera liteke. Ahultasun horretarako CVE-2019-18677 identifikatzailea erreserbatu da.
• Mezuen analisi okerraren ondorioz HTTP eskarien zatiketa arazo bat sor liteke. Ahultasun horretarako CVE-2019-18678 identifikatzailea erreserbatu da.
• Datuen kudeaketa okerra baliatuz, erasotzaile batek informazioa ezagutzera eman lezake HTTP Digest Authentication prozesatzean. Ahultasun horretarako CVE-2019-18679 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna