2016-0866: Squid: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2016-05-31 13:20)

Neues Advisory

Version 2 (2016-06-10 11:42)

Für die Distributionen Ubuntu 16.04 LTS, Ubuntu 15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS werden Sicherheitsupdates für Squid bereitgestellt. Mit diesen Sicherheitsupdates wird zusätzlich die Denial-of-Service-Schwachstelle CVE-2016-3947 adressiert.

Version 3 (2016-07-25 12:32)

Für die Distributionen Debian Jessie ('stable') und Stretch ('testing') stehen Sicherheitsupdates zur Verfügung. Die Schwachstelle CVE-2016-3947 wird nicht referenziert.

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Squid ermöglichen einem entfernten, nicht authentifizierten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen, das Ausspähen von Informationen und das Ausführen beliebigen Programmcodes. Für einige dieser Angriffe ist es erforderlich, dass Squid in der Funktion als Reverse Proxy die Edge Side Includes (ESI) unterstützt und der Angreifer die ESI-Komponenten unter seiner Kontrolle hat. Ein nicht authentifizierter Angreifer im benachbarten Netzwerk kann weitere Schwachstellen ausnutzen, um Sicherheitsmechanismen zu umgehen.

Für die Red Hat Enterprise Linux 6 Produkte Server und Workstation stehen Sicherheitsupdates für Squid 3.4 in Form aktualisierter squid34-Pakete bereit. Ebenfalls für die beiden Produkte verfügbar sind aktualisierte squid-Pakete. Für diese Sicherheitsupdates werden die Schwachstellen CVE-2016-4553 und CVE-2016-4555 nicht referenziert. Auch für die Red Hat Enterprise Linux 7 Produkte Server, hier auch die Versionen Server AUS 7.2 und Server EUS 7.2, sowie Workstation stehen Sicherheitsupdates für Squid zur Behebung aller genannten Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2016-3947

Schwachstelle in Squid ermöglicht Denial-of-Service-Angriff

CVE-2016-4051

Schwachstelle in Squid ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-4052

Schwachstellen in Squid ermöglichen Ausführung beliebigen Programmcodes

CVE-2016-4053

Schwachstelle in Squid ermöglicht Ausspähen von Informationen

CVE-2016-4054

Schwachstelle in Squid ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-4553

Schwachstelle in Squid ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-4554

Schwachstelle in Squid ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-4555

Schwachstelle in Squid ermöglicht Denial-of-Service-Angriff

CVE-2016-4556

Schwachstelle in Squid ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.