CERTA-2004-AVI-062
Vulnerability from certfr_avis - Published: - Updated:
Deux vulnérabilités dans Squid permettent à un utilisateur mal intentionné de contourner la politique de sécurité mise en place.
Description
Squid est un serveur mandataire (proxy) pour les protocoles HTTP, HTTPS et FTP. Deux vulnérabilités ont été identifiées dans Squid permettant à un utilisateur mal intentionné de contourner la politique de sécurité, notamment de contourner les contrôles d'accès basés sur la directive url_regex.
Solution
Mettre à jour Squid en version 2.5.STABLE5 ou appliquer le correctif fournit par l'éditeur :
-
Site pour le téléchargement de Squid :
http://www.squid-cache.org/Versions/v2/2.5/ -
Bulletin de sécurité RHSA-2004:133 pour Red Hat :
http://rhn.redhat.com/errata/RHSA-2004-133.html -
Bulletin de sécurité RHSA-2004:134 pour Red Hat :
http://rhn.redhat.com/errata/RHSA-2004-134.html -
Bulletin de sécurité MDKSA-2004:025 de Mandrake :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:025 -
Bulletin de sécurité GLSA 200403-11 de Gentoo :
http://www.securityfocus.com/advisories/6495 -
Bulletin de sécurité DSA-474 de Debian :
http://www.debian.org/security/2004/dsa-474 -
Bulletin de sécurité SGI 20040404-01-U du 21 avril 2004 :
ftp://patches.sgi.com/support/free/security/advisories/20040404-01-U.asc
Note : pour vérifier la version de Squid, taper la commande :
squid -v
Squid versions 2.5.STABLE4 et antérieures.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cTT\u003eSquid\u003c/TT\u003e versions 2.5.STABLE4 et ant\u00e9rieures.",
"content": "## Description\n\nSquid est un serveur mandataire (proxy) pour les protocoles HTTP, HTTPS\net FTP. Deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans Squid permettant \u00e0\nun utilisateur mal intentionn\u00e9 de contourner la politique de s\u00e9curit\u00e9,\nnotamment de contourner les contr\u00f4les d\u0027acc\u00e8s bas\u00e9s sur la directive\nurl_regex.\n\n## Solution\n\nMettre \u00e0 jour Squid en version 2.5.STABLE5 ou appliquer le correctif\nfournit par l\u0027\u00e9diteur :\n\n- Site pour le t\u00e9l\u00e9chargement de Squid :\n\n http://www.squid-cache.org/Versions/v2/2.5/\n\n- Bulletin de s\u00e9curit\u00e9 RHSA-2004:133 pour Red Hat :\n\n http://rhn.redhat.com/errata/RHSA-2004-133.html\n\n- Bulletin de s\u00e9curit\u00e9 RHSA-2004:134 pour Red Hat :\n\n http://rhn.redhat.com/errata/RHSA-2004-134.html\n\n- Bulletin de s\u00e9curit\u00e9 MDKSA-2004:025 de Mandrake :\n\n http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:025\n\n- Bulletin de s\u00e9curit\u00e9 GLSA 200403-11 de Gentoo :\n\n http://www.securityfocus.com/advisories/6495\n\n- Bulletin de s\u00e9curit\u00e9 DSA-474 de Debian :\n\n http://www.debian.org/security/2004/dsa-474\n\n- Bulletin de s\u00e9curit\u00e9 SGI 20040404-01-U du 21 avril 2004 :\n\n ftp://patches.sgi.com/support/free/security/advisories/20040404-01-U.asc\n\n \n\nNote : pour v\u00e9rifier la version de Squid, taper la commande : \nsquid -v\n",
"cves": [],
"links": [
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD squid :",
"url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities"
},
{
"title": "Avis de s\u00e9curit\u00e9 FreeBSD du 26 mars mars 2004 :",
"url": "http://www.vuxml.org/freebsd/"
}
],
"reference": "CERTA-2004-AVI-062",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-03-03T00:00:00.000000"
},
{
"description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Red Hat. Ajout r\u00e9f\u00e9rence CVE.",
"revision_date": "2004-03-30T00:00:00.000000"
},
{
"description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Mandrake.",
"revision_date": "2004-03-31T00:00:00.000000"
},
{
"description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Gentoo.",
"revision_date": "2004-04-01T00:00:00.000000"
},
{
"description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Debian.",
"revision_date": "2004-04-05T00:00:00.000000"
},
{
"description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 RedHat et SGI.",
"revision_date": "2004-05-10T00:00:00.000000"
},
{
"description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 FreeBSD et NetBSD.",
"revision_date": "2004-05-12T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Deux vuln\u00e9rabilit\u00e9s dans Squid permettent \u00e0 un utilisateur mal\nintentionn\u00e9 de contourner la politique de s\u00e9curit\u00e9 mise en place.\n",
"title": "Vuln\u00e9rabilit\u00e9 de Squid",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis de s\u00e9curit\u00e9 de Squid SQUID-2004:1",
"url": "http://www.squid-cache.org/Advisories/SQUID-2004_1.txt"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…