2018-0147: Squid: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2018-01-23 10:50): Neues Advisory
Version 2 (2018-01-24 11:26): Für Fedora 26 und 27 stehen Sicherheitsupdates für das Paket 'squid' auf Version 4.0.23 im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.
Version 3 (2018-02-23 12:40): Debian stellt für die Distributionen Jessie (old stable) und Stretch (stable) Sicherheitsupdates für 'squid3' bereit, um die Schwachstellen zu beheben.
Version 4 (2018-03-09 10:19): Für die SUSE Linux Enterprise Server Versionen 12 SP2, 12 SP3 und Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates für Squid bereit, die die beiden Schwachstellen beheben.
Version 5 (2018-03-09 13:48): Für openSUSE Leap 42.3 steht jetzt ebenfalls ein Sicherheitsupdate für 'squid' zur Verfügung, um diese Schwachstellen zu beheben.
Version 6 (2018-03-21 16:33): Für die SUSE Linux Enterprise Produkte Server und Debuginfo in Version 11 SP4 stehen Sicherheitsupdates für Squid bereit, um die beiden Schwachstellen zu beheben.

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in Squid ausnutzen, um Denial-of-Service (DoS)-Zustände für alle Klienten auszulösen, die auf den Squid-Service zugreifen.

Diese Schwachstellen betreffen alle Versionen der Versionszweige 3.x bis inklusive 3.5.27 und 4.x bis inklusive 4.0.22.

Der Hersteller stellt die Beta-Version 4.0.23 als Sicherheitsupdate zur Behebung der Schwachstellen bereit. Zusätzlich stehen Patches für Squid 3.5 und Squid 4 zur Verfügung.

Schwachstellen:

CVE-2018-1000024

Schwachstelle in Squid ermöglicht Denial-of-Service-Angriff

CVE-2018-1000027