2021-0997: Squid: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe
Historie:
- Version 1 (2021-05-11 15:19)
- Neues Advisory
- Version 2 (2021-06-02 15:06)
- Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'squid' in Version 4.6-1+deb10u6 bereit, um die Schwachstellen zu beheben. Die Schwachstelle CVE-2020-25097 wurde bereits mit einem früheren Sicherheitsupdate behoben.
- Version 3 (2021-06-03 15:22)
- Die Schwachstelle CVE-2021-28116 wurde ebenfalls durch die neuen Versionen von Squid behoben und hier entsprechend hinzugefügt. Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate zur Behebung der Schwachstellen bereit. Für Fedora 33 steht ein Sicherheitsupdate im Status 'testing' in Form des Pakets 'squid-4.15-1.fc33' zur Verfügung.
- Version 4 (2021-06-04 09:02)
- Für Fedora 34 steht ein Sicherheitsupdate in Form des Pakets 'squid-5.0.6-1.fc34' im Status 'testing' zur Verfügung.
- Version 5 (2021-06-04 10:17)
- Canonical stellt für Ubuntu 21.04, Ubuntu 20.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'squid' und 'squid3' bereit, um die Schwachstellen zu beheben.
- Version 6 (2021-06-14 11:19)
- Für SUSE Manager Server, Retail Branch Server und Proxy jeweils in Version 4.0, SUSE Linux Enterprise Server 15 SAP / LTSS und 15 SP1 SAP / LTSS / BCL, SUSE Linux Enterprise Module for Server Applications 15 SP2 und 15 SP3, SUSE Linux Enterprise High Performance Computing 15 LTSS / ESPOS und 15 SP1 LTSS / ESPOS, SUSE Enterprise Storage 6 sowie SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'squid' bereit, um die Schwachstellen zu beheben.
- Version 7 (2021-06-14 11:25)
- Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'squid3' in Version 3.5.23-5+deb9u7 bereit, um die Schwachstellen zu beheben.
- Version 8 (2021-06-17 11:26)
- Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'squid' auf Version 4.15 bereit, um die Schwachstellen CVE-2020-25097, CVE-2021-28651, CVE-2021-28652, CVE-2021-28662 und CVE-2021-31806 zu beheben.
- Version 9 (2021-07-14 17:05)
- Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'squid' auf Version 4.15 bereit, um die Schwachstellen CVE-2020-25097, CVE-2021-28651, CVE-2021-28652, CVE-2021-28662 und CVE-2021-31806 zu beheben.
- Version 10 (2021-09-27 10:01)
- Für Oracle Linux 7 (aarch64, x86_64) steht ein Sicherheitsupdate für 'squid' bereit, um die Schwachstellen CVE-2021-28651, CVE-2021-28652, CVE-2021-31806, CVE-2021-31807, CVE-2021-31808 und CVE-2021-33620 zu beheben.
- Version 11 (2021-11-11 10:07)
- Für Red Hat Enterprise Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'squid:4' zur Verfügung. Die betroffene Software wird damit auf Version 4.15 aktualisiert. Die Updates werden im Rahmen der Veröffentlichung von Red Hat Enterprise Linux 8.5 bereitgestellt.
Betroffene Software
Server
Sicherheit
Betroffene Plattformen
Cloud
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Das Squid-Projekt bestätigt die Schwachstellen und stellt die Version 4.15 sowie Patches für ältere Versionen als Sicherheitsupdates bereit. Außerdem wurde Squid Version 5.0.6 (Beta) zum Testen veröffentlicht, womit die Schwachstellen ebenfalls behoben werden.
Schwachstellen:
CVE-2020-25097
Schwachstelle in Squid ermöglicht Ausspähen von InformationenCVE-2021-28116
Schwachstelle in Squid ermöglicht Ausspähen von InformationenCVE-2021-28651
Schwachstelle in Squid ermöglicht Denial-of-Service-AngriffCVE-2021-28652
Schwachstelle in Squid ermöglicht Denial-of-Service-AngriffCVE-2021-28662
Schwachstelle in Squid ermöglicht Denial-of-Service-AngriffCVE-2021-31806
Schwachstelle in Squid ermöglicht Denial-of-Service-AngriffeCVE-2021-31807
Schwachstelle in Squid ermöglicht Denial-of-Service-AngriffeCVE-2021-31808
Schwachstelle in Squid ermöglicht Denial-of-Service-AngriffeCVE-2021-33620
Schwachstelle in Squid ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.