検出

MiracleLinux 4squid-3.1.23-16.AXS4.4AXSA:2016-464:02

high Nessus プラグイン ID 289641

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのMiracleLinux 4ホストには、AXSA:2016-464:02アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 Squid は Web クライアント向けの高性能プロキシキャッシュサーバーであり、 FTP、Gopher および HTTP データオブジェクトをサポートします。従来のキャッシングソフトウェアとは異なり、Squid は、単一の非ブロック I/O 駆動プロセスですべてのリクエストを処理します。Squid は、メタデータ、特にホットオブジェクトを RAM にキャッシュしたまま保持し、DNS 検索をキャッシュし、非ブロッキング DNS 検索をサポートし、失敗したリクエストのネガティブキャッシングを実装します。
 Squid は、メインサーバープログラム squid、ドメインネームシステム検索プログラムdnsserver、FTP データ取得プログラムftpget、およびいくつかの管理およびクライアントツールで構成されています。
 このリリースで修正されたセキュリティ問題
 CVE-2016-4051 Squid の 2.x、 3.x ] より前の 3.5.17、および 4.x より前の 4.0.9 の cachemgr.cgi のバッファオーバーフローにより、リモートの攻撃者が、細工されたデータを使用してマネージャーレポートをシード処理することで、サービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。
 CVE-2016-40523.x より前の Squid 3.5.17 および 4.x より前の 4.0.9 Squid における複数のスタックベースのバッファオーバーフローにより、リモート HTTP サーバーが、細工された Edge Side IncludesESI応答を介してサービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。
 CVE-2016-4053 Squid 3.x3.5.17 より前の および 4.x より前の 4.0.9 により、リモートの攻撃者が、アサートおよびコンパイラ最適化の不適切な使用に関連する、細工された Edge Side IncludesESI応答を通じて、機密のスタックレイアウト情報を入手することが可能です。
 CVE-2016-4054 Squid の 3.x より前の 3.5.17 および 4.x ] より前の 4.0.9 のバッファオーバーフローにより、リモートの攻撃者が、細工された Edge Side IncludesESI応答を介して任意のコードを実行することが可能です。
 CVE-2016-45543.5.18 より前の Squid の mime_header.cc により、リモートの攻撃者が、意図された同一生成元制限をバイパスし、細工された HTTP ホストヘッダーを介してキャッシュポイズニング攻撃を実行する可能性があります別名ヘッダースマグリング問題。
 CVE-2016-45563.x より前の Squid および 3.5.18 ] より前の 4.x4.0.10 の Squid の Esi.cc における二重解放の脆弱性により、リモートサーバーが、細工された Edge Side IncludesESI応答を介してサービス拒否クラッシュを引き起こす可能性があります。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける squid パッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/6851

プラグインの詳細

深刻度: High

ID: 289641

ファイル名: miracle_linux_AXSA-2016-464.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2016-4054

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2016-4051

脆弱性情報

CPE: p-cpe:/a:miracle:linux:squid, cpe:/o:miracle:linux:4

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/5/31

脆弱性公開日: 2016/4/20

参照情報

CVE: CVE-2016-4051, CVE-2016-4052, CVE-2016-4053, CVE-2016-4054, CVE-2016-4554, CVE-2016-4556