2020-1491: Squid: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-07-13 15:21)
- Neues Advisory
- Version 2 (2020-08-14 10:14)
- Das Sicherheitsupdate DLA-2278-1 für 'squid3' enthielt eine unvollständige Behebung der Schwachstelle CVE-2019-12523, wodurch Dienste, welche die Protokolle 'icap' oder 'ecap' verwenden, nicht mehr ordentlich funktionierten. Dies wurde nun mit Version 3.5.23-5+deb9u3 des Pakets behoben. Ferner wurde darin die Fehlerbehebung für CVE-2019-12529 dahingehend verbessert, dass mehr Code aus Debians Cryptographic-Nettle-Bibliothek verwendet wird.
- Version 3 (2020-09-07 11:21)
- Durch das Sicherheitsupdate DLA-2278-2 für 'squid3' wurde aufgrund des aktualisierten Fixes für CVE-2019-12529 eine Regression eingeführt. Der neue Kerberos Authentication Code verhinderte die Vereinbarung von Base64-Token. Dies wurde nun mit Version 3.5.23-5+deb9u4 des Pakets behoben.
Betroffene Software
Server
Sicherheit
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in Squid ermöglichen es einem entfernten Angreifer, einen Denial-of-Service (DoS)-Angriff durchzuführen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen oder Informationen auszuspähen. Zwei Schwachstellen ermöglichen es einem entfernten Angreifer mit üblichen Benutzerrechten, einen Cross-Site Scripting (XSS)-Angriff durchzuführen. Ein erfolgreicher Angriff erfordert dabei die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten betroffener Systeme haben. Eine weitere Schwachstelle ermöglicht es einem entfernten Angreifer, einen HTTP-Request-Splitting-Angriff durchführen, wodurch weitere Angriffe möglich werden.
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'squid3' in Version 3.5.23-5+deb9u2 bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2018-19132
Schwachstelle in Squid ermöglicht Denial-of-Service-AngriffCVE-2019-12519
Schwachstelle in Squid ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-12520
Schwachstelle in Squid ermöglicht u. a. Darstellung falscher InformationenCVE-2019-12521
Schwachstelle in Squid ermöglicht Denial-of-Service-AngriffCVE-2019-12523
Schwachstelle in Squid ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-12524
Schwachstelle in Squid ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-12525
Schwachstelle in Squid ermöglicht Denial-of-Service-AngriffCVE-2019-12526
Schwachstelle in Squid ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-12528
Schwachstelle in Squid ermöglicht Ausspähen von InformationenCVE-2019-12529
Schwachstelle in Squid ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-13345
Schwachstellen in Squid ermöglichen Cross-Site-Scripting-AngriffeCVE-2019-18676
Schwachstelle in Squid ermöglicht Denial-of-Service-AngriffCVE-2019-18677
Schwachstelle in Squid ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-18678
Schwachstelle in Squid ermöglicht HTTP-Request-Splitting-AngriffCVE-2019-18679
Schwachstelle in Squid ermöglicht Ausspähen von InformationenCVE-2019-18860
Schwachstelle in Squid ermöglicht Cross-Site-Scripting-AngriffCVE-2020-11945
Schwachstelle in Squid ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2020-8449
Schwachstelle in Squid ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-8450
Schwachstelle in Squid ermöglicht u. a. Ausführung beliebigen Programmcodes mit Rechten des Dienstes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.