Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/06/22

Garrantzia: Handia

Kaltetutako baliabideak:

Squid-en ondoko bertsioei bi ahultasunek eragiten diete:

• 3.1 bertsiotik 3.5.28 bertsiora bitartekoak;
• 4.0 bertsiotik 4.11 bertsiora bitartekoak;
• 5.0.1 bertsiotik 5.0.2 bertsiora bitartekoak.

Azalpena:

Bloomberg-eko Jack Zar eta Open Systems-eko Christof Gerber eta Mario Galli ikertzaileek bi ahultasun aurkitu dituzte, biak larritasun altukoak, zerbitzuaren ukapen (DoS) erakoak.

Konponbidea:

• CVE-2020-14059 ahultasunaren kasuan, 5.0.3 bertsiora eguneratzea edo Squid 5-erako partxea aplikatzea;
• CVE-2020-14058  ahultasunaren kasuan, 4.12 edo 5.0.3 bertsioetara eguneratzea, edo Squid 4 edo Squid 5-erako partxeak aplikatzea.

Xehetasuna:

• Sinkronizazio oker baten ondorioz, Squid ahula da zerbitzuaren ukapen erako (DoS) eraso baten aurrean SMP cache batean objektuak prozesatzean. Arazo hori baliatuz urruneko bezero batek Squid-en worker baten asertzio bat aktiba lezake. Ahultasun horretarako CVE-2020-14059 identifikatzailea erreserbatu da.
• Arriskutsua izan litekeen funtzio bat erabiltzearen ondorioz, Squid eta ziurtagiriak egiaztatzeko lehenetsitako morroia ahulak dira zerbitzuaren ukapen erako (DoS) eraso baten aurrean TLS ziurtagiriak prozesatzean. Ahultasun horretarako CVE-2020-14058 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Komunikazioak, Ahultasuna