2020-1842: Squid: Mehrere Schwachstellen ermöglichen u. a. HTTP-Request-Smuggling- / Splitting-Angriffe

Historie:

Version 1 (2020-08-24 17:31)

Neues Advisory

Version 2 (2020-08-25 13:32)

Zu diesen drei Schwachstellen stehen inzwischen detailliertere Informationen zur Verfügung.

Version 3 (2020-08-27 11:11)

Für Fedora 31 und 32 stehen Sicherheitsupdates auf die Squid Version 4.13 bereit, um die Schwachstellen zu beheben.

Version 4 (2020-08-28 12:15)

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'squid' in Version 4.6-1+deb10u4 bereit, um die Schwachstellen zu beheben. Canonical stellt ein Sicherheitsupdate für Ubuntu 20.04 LTS zur Verfügung.

Version 5 (2020-09-02 18:32)

Für die SUSE Linux Enterprise Produkte Server 12 SP5 und 15 LTSS, Server for SAP 15, Module for Server Applications 15 SP1 und 15 SP2 sowie High Performance Computing 15 ESPOS / LTSS stehen Sicherheitsupdates bereit.

Version 6 (2020-09-03 14:37)

Für SUSE OpenStack Cloud 7, 8 und 9, SUSE OpenStack Cloud Crowbar 8 und 9 sowie die SUSE Linux Enterprise Produkte Storage 5, Server 12 SP2 BCL / LTSS, 12 SP3 BCL/ LTSS und 12 SP4 LTSS sowie Server for SAP 12 SP2, 12 SP3 und 12 SP4 stehen Sicherheitsupdates für 'squid' bereit, um die Schwachstellen zu beheben.

Version 7 (2020-09-07 10:17)

Für openSUSE Leap 15.1 steht ebenfalls ein Sicherheitsupdate bereit, womit 'squid' auf Version 4.13 aktualisiert wird.

Version 8 (2020-09-07 18:15)

Für openSUSE Leap 15.2 steht ebenfalls ein Sicherheitsupdate bereit, womit 'squid' auf Version 4.13 aktualisiert wird.

Version 9 (2020-12-30 16:53)

Für SUSE Linux Enterprise Server 11 SP4 LTSS und SUSE Linux Enterprise Debuginfo 11 SP4 stehen Sicherheitsupdates für 'squid' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Zwei Schwachstellen ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten die Durchführung von HTTP-Request-Smuggling- bzw. Splitting-Angriffen, welche die Vergiftung des Caches (Cache-Poisoning) ermöglichen. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten betroffener Systeme haben. Eine weitere Schwachstelle ermöglicht einem entfernten Angreifer mit üblichen Benutzerrechten die Durchführung eines Denial-of-Service (DoS)-Angriffs.

Das Squid-Projekt bestätigt die Schwachstellen und stellt die Version 4.13 und 5.0.4 sowie Patches für ältere Versionen als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2020-15810

Schwachstelle in Squid ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2020-15811

Schwachstelle in Squid ermöglicht HTTP-Response-Splitting-Angriff

CVE-2020-24606

Schwachstelle in Squid ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.