2016-0331: Squid: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2016-02-24 18:38)

Neues Advisory

Version 2 (2016-02-26 17:46)

Inzwischen wurden vier Schwachstellen-Identifier zugewiesen, wobei CVE-2016-2569 sich auf insgesamt drei, CVE-2016-2570 auf den 4. Angriffsvektor im Kontext der Verarbeitung von Zeichenketten-Objekten (String Objects) beziehen und CVE-2016-2571 und CVE-2016-2572 für zwei verschiedene Probleme bei der Fehlerbehandlung falsch formatierter HTTP-Antworten vergeben wurden.

Version 3 (2016-03-03 11:14)

Für Fedora 23 steht ein Sicherheitsupdate in Form des Paketes squid-3.5.9-8.fc23 im Status 'testing' zur Verfügung, um diese Denial-of-Service (DoS)-Schwachstellen zu beheben.

Version 4 (2016-03-03 14:56)

Für Fedora 23 steht nun unter derselben Update ID ein Sicherheitsupdate in Form des Paketes squid-3.5.10-1.fc23 bereit, welches sich allerdings noch im Status 'pending' befindet.

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Squid ermöglichen einem entfernten, nicht authentifizierten Angreifer das Durchführen von Denial-of-Service (DoS)-Angriffen, mittels speziell präparierter HTTP-Antworten (HTTP Responses), gegen alle Klienten des Squid Proxies.

Die Schwachstellen werden mit den Programmversionen 3.5.15 und 4.0.7 behoben. Der Hersteller informiert, dass eine der Schwachstellen möglicherweise nicht vollständig behoben ist. Die Ursache einer anderen Schwachstelle ist ungeklärt.

Schwachstellen:

CVE-2016-2569 CVE-2016-2570

Schwachstellen in Squid ermöglichen Denial-of-Service-Angriffe

CVE-2016-2571 CVE-2016-2572

Schwachstellen in Squid ermöglichen Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.