2020-2104: Squid: Mehrere Schwachstellen ermöglichen u. a. HTTP-Request-Smuggling-Angriffe
Historie:
- Version 1 (2020-09-29 12:14)
- Neues Advisory
- Version 2 (2020-10-05 10:31)
- For Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'squid3' in Version 3.5.23-5+deb9u5 zur Behebung der Schwachstellen bereit.
Betroffene Software
Server
Sicherheit
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten die Durchführung von HTTP-Request-Smuggling- bzw. HTTP-Response-Splitting-Angriffen, welche die Vergiftung des Caches (Cache-Poisoning) ermöglichen. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten betroffener Systeme haben. Eine weitere Schwachstelle ermöglicht einem entfernten Angreifer mit üblichen Benutzerrechten die Durchführung eines Denial-of-Service (DoS)-Angriffs.
Canonical stellt für Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'squid3' bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2020-15049
Schwachstelle in Squid ermöglicht HTTP-Request-Smuggling- und Cache-Poisoning-AngriffCVE-2020-15810
Schwachstelle in Squid ermöglicht HTTP-Request-Smuggling-AngriffCVE-2020-15811
Schwachstelle in Squid ermöglicht HTTP-Response-Splitting-AngriffCVE-2020-24606
Schwachstelle in Squid ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.