Debian DSA-3625-1：squid3 - セキュリティ更新

high Nessus プラグイン ID 92525

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Squid キャッシュプロキシに、いくつかのセキュリティ問題が発見されました。

- CVE-2016-4051：
CESG および Yuriy M. Kaminskiy 氏は、Squid の cachemgr.cgi が、Squid を通じて中継されたリモート供給された入力の処理時にバッファオーバーフローに脆弱であることを発見しました。

- CVE-2016-4052：
CESG は、ESI 応答の処理時、バッファオーバーフローにより Squid がサービス拒否（DoS）攻撃に対して脆弱になることを発見しました。

- CVE-2016-4053：
CESG は、ESI 応答を処理する際に、Squid がサーバースタックレイアウトの公開情報の漏洩に脆弱であることを発見しました。

- CVE-2016-4054：
CESG は、ESI 応答の処理時、Squid がリモートコードの実行に対して脆弱であることを発見しました。

- CVE-2016-4554：
Jianjun Chen 氏は、Squid がヘッダースマグリング攻撃に対して脆弱であることを発見しました。これはキャッシュポイズニング、および Squid と一部のクライアントブラウザにおける同一生成元セキュリティポリシーのバイパスにつながる可能性があります。

- CVE-2016-4555、CVE-2016-4556：
「bfek-18」および「@vftable」は、不適切なポインター処理および参照カウントにより、ESI 応答の処理時、Squid がサービス拒否（DoS）攻撃に対して脆弱であることを見つけました。