Amazon Linux 2023 : squid (ALAS2023-2023-445)

high Nessus プラグイン ID 186968

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2023-445 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Squid は、HTTP、HTTPS、FTP などをサポートする Web 用のキャッシングプロキシです。関数の戻り値のバグの不適切なチェックにより、Squid はその Helper プロセス管理に対するサービス拒否攻撃に脆弱です。このバグは、Squid バージョン 6.5 で修正されています。ユーザーにアップグレードすることを推奨します。この脆弱性に対する既知の回避策はありません。(CVE-2023-49286)

- Squid は、HTTP、HTTPS、FTP などをサポートする Web 用のオープンソースキャッシングプロキシです。安全でない値へのデータの折りたたみバグにより、Squid が HTTP ヘッダー解析に対するサービス拒否攻撃に脆弱である可能性があります。この問題により、HTTP メッセージで大きすぎるヘッダーを送信したときに、リモートクライアントまたはリモートサーバーがサービス拒否を実行する可能性があります。6.5 より前の Squid のバージョンでは、request_header_max_size または reply_header_max_size の設定がデフォルトから変更されていない場合、この問題を実現できる可能性があります。Squid バージョン 6.5 以降では、これらのパラメーターのデフォルト設定は安全です。管理者がこれらのパラメーターを安全でない値に設定している場合、Squid は cache.log に重大な警告を出力します。Squid は現時点で、これらの設定が安全でない値に変更されるのを防止できません。ユーザーはバージョン 6.5 にアップグレードすることを推奨します。
この脆弱性に対する既知の回避策はありません。この問題は SQUID-2024:2 としても追跡されています (CVE-2024-25617)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。