2016-0398: Squid: Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-03-07 16:52)

Neues Advisory

Version 2 (2016-03-21 12:14)

Debian stellt für die Distributionen Debian Wheezy (oldstable), Jessie (stable) und Debian Stretch (testing) (Backport-)Sicherheitsupdates Squid 3 bereit und adressiert damit die Schwachstelle CVE-2016-2571.

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in Squid erlauben einem entfernten, nicht authentifizierten Angreifer das Durchführen von Denial-of-Service (DoS)-Angriffen mittels präparierter HTTP Responses, bzw. präparierter UDP SNMP Requests, wobei der im letzteren Fall ausgelöste Heap-Pufferüberlauf möglicherweise auch das Ausführen beliebigen Programmcodes ermöglicht.

Canonical stellt für die Distributionen Ubuntu 15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS Backport-Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2014-6270

"Off-by-one"-Schwachstelle in Squid/SNMP

CVE-2016-2571

Schwachstelle in Squid ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.