Haavoittuvuuksia Squid-palvelinohjelmistossa

Squid on avoimen lähdekoodin välityspalvelinohjelmisto. Ohjelmistosta on löytynyt kaksi haavoittuvuutta, joiden avulla voidaan tietyissa tilanteissa aiheuttaa palvelimelle palvelunestotila tai päästä käsiksi palvelimella olevaan tietoon.

SQUID-2016:3 -päivitys korjaa CVE-2016-3947 haavoittuvuuden Squid:in Pinger-sovelluksesta, minkä avulla toisesta järjestelmästä lähtetetyillä muokatuilla ICMP- ja ICMPv6-paketeilla voi olla mahdollista aiheuttaa palvelunestotila. Järjestelmissä missä ei ole puskurin ylivuodon suojausta käytössä, haavoittuvuuden hyväksikäyttö voi johtaa muistin sisällön vuotamisen Squid:n lokitiedostoihin.

SQUID-2016:4 päivitys korjaa CVE-2016-3948 haavoittuvuuden Squid:in tavassa käsitellä HTTP vastauksia, minkä avulla toisesta järjestelmästä lähtetetyillä muokatuilla HTTP vastauksilla voi olla mahdollista aiheuttaa palvelunestotila.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Luottamuksellisen tiedon hankkiminen
  • Palvelunestohyökkäys
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

SQUID-2016:3: Haavoittuvuudet on korjattu Squid-versioissa 3.5.15 ja 4.0.8. Korjaus on saatavilla myös Squid:n versiohaaroihin 3.1, 3.2, 3.3 ja 3.4.

SQUID-2016:4: Haavoittuvuudet on korjattu Squid-versioissa 3.5.16 ja 4.0.8. Squid:n versiohaarat 3.1 - 3.4 ovat haavoittuvia.

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmisto ohjelmistotoimittajan tiedotteen mukaisesti. Haavoittuvuuden hyväksikäyttöä voi rajoittaa ohjelmistotoimittajan tiedotteessa kuvatuilla tavoilla.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , CERT , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248