 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 22 septembre
2005
No CERTA-2005-AVI-337-004 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Squid
Tableau 1: Gestion du document
| Référence |
CERTA-2005-AVI-337-004 |
| Titre |
Multiples
vulnérabilités dans Squid |
| Date de la première
version |
07 septembre 2005 |
| Date de la dernière
version |
03 octobre 2005 |
| Source(s) |
Bulletin de
sécurité de Squid |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Déni de service.
Squid version 2.5.STABLE10 et versions antérieures.
Deux vulnérabilités pouvant provoquer un
déni de service ont été découvertes
dans Squid.
Squid est un logiciel sous licence libre servant de Proxy
cache. Deux vulnérabilités ont
été découvertes dans ce logiciel.
La première vulnérabilité est due à
une erreur présente dans la fonction
sslConnectTimeout(). Cette fonction ne gère pas
correctement certaines requêtes malformées.
La seconde vulnérabilité est due à une
erreur présente dans la fonction storeBuffer().
Là aussi, cette fonction peut être
exploitée par le biais d'une requête
malformée.
L'exploitation d'une de ces deux vulnérabilités
peut entraîner un déni de service.
Appliquer les correctifs respectifs. Ces correctifs peuvent
être fournis par la distribution utilisée (cf.
Documentation), ou directement sur le site de l'éditeur
:
- 07 septembre 2005
- version initiale.
- 09 sptembre 2005
- ajout de la référence Gentoo.
- 15 septembre 2005
- ajout des références Mandriva, Debian et
CVE.
- 22 septembre 2005
- ajout de la référence au bulletin de
sécurité RedHat.
- 03 octobre 2005
- ajout de la référence au bulletin de
sécurité Suse.
CERTA
2012-01-04
|
|
)
