openSUSE セキュリティ更新:squid(openSUSE-2016-988)
high Nessus プラグイン ID 92994
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
Squid HTTP プロキシは、バージョン 3.3.14 に更新され、次のセキュリティ問題を修正しました:- HTTP 応答処理における複数のサービス拒否問題を修正しました。(CVE-2016-2569、CVE-2016-2570、CVE-2016-2571、CVE-2016-2572、bsc#968392、bsc#968393、bsc#968394、bsc#968395)
- CVE-2016-3947:pinger ICMPv6 処理におけるバッファオーバーランの問題。(bsc#973782)
- CVE-2015-5400:代替パスの不適切な保護。
(bsc#938715)
- CVE-2015-3455:Squid HTTP プロキシが client-first モードの SSL Bump で構成された場合、サーバーの証明書を適切に検証しませんでした。(bsc#929493)
- CVE-2016-3948:HTTP 応答処理におけるサービス拒否を修正しました(bsc#973783)
- CVE-2016-4051:cachemgr.cgi のバッファオーバーフローを修正します(bsc#976553)
- CVE-2016-4052、CVE-2016-4053、CVE-2016-4054:ESI 処理における複数の問題を修正しました(bsc#976556)
- CVE-2016-4553:HTTP リクエスト処理におけるキャッシュポイズニングの問題を修正しました(bsc#979009)
- CVE-2016-4554:HTTP リクエスト処理におけるヘッダースマグリングの問題を修正しました(bsc#979010)
- ESI 応答処理における複数のサービス拒否問題を修正しました。(CVE-2016-4555、CVE-2016-4556、bsc#979011、bsc#979008)
また、以下の非セキュリティ問題も修正されました:
- unsquid.pl スクリプトのヘッダーサイズを修正します。(bsc#902197)
- 外部ヘルパー ext_session_acl をパッケージに追加します。
(bsc#959290)
- forward_max_tries を更新して、25 のサーバーパスを許可します クラウドサービスサイトの人気の高まりにより、IPv6 および IPv4 アドレスの長いリストを作成する CDN サーバーが増加しています。十分な数のパスが選択されていない場合、IPv4 アドレスにたどり着けない可能性があります。
- squid.init:アップグレードの際に squid を kill する場合、事前に廃止を公表する代わりに squid が実際に廃止されるまで待ちます(bnc#963539)
この更新は、SUSE:SLE-12 からインポートされました:更新プロジェクトを更新します。
ソリューション
影響を受ける squid パッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=902197
https://bugzilla.opensuse.org/show_bug.cgi?id=929493
https://bugzilla.opensuse.org/show_bug.cgi?id=938715
https://bugzilla.opensuse.org/show_bug.cgi?id=955783
https://bugzilla.opensuse.org/show_bug.cgi?id=959290
https://bugzilla.opensuse.org/show_bug.cgi?id=963539
https://bugzilla.opensuse.org/show_bug.cgi?id=968392
https://bugzilla.opensuse.org/show_bug.cgi?id=968393
https://bugzilla.opensuse.org/show_bug.cgi?id=968394
https://bugzilla.opensuse.org/show_bug.cgi?id=968395
https://bugzilla.opensuse.org/show_bug.cgi?id=973782
https://bugzilla.opensuse.org/show_bug.cgi?id=973783
https://bugzilla.opensuse.org/show_bug.cgi?id=976553
https://bugzilla.opensuse.org/show_bug.cgi?id=976556
https://bugzilla.opensuse.org/show_bug.cgi?id=979008
https://bugzilla.opensuse.org/show_bug.cgi?id=979009
プラグインの詳細
深刻度: High
ID: 92994
ファイル名: openSUSE-2016-988.nasl
バージョン: 2.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2016/8/17
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: High
基本値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:squid, p-cpe:/a:novell:opensuse:squid-debuginfo, p-cpe:/a:novell:opensuse:squid-debugsource, cpe:/o:novell:opensuse:42.1
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
パッチ公開日: 2016/8/16
参照情報
CVE: CVE-2015-3455, CVE-2015-5400, CVE-2016-2569, CVE-2016-2570, CVE-2016-2571, CVE-2016-2572, CVE-2016-3947, CVE-2016-3948, CVE-2016-4051, CVE-2016-4052, CVE-2016-4053, CVE-2016-4054, CVE-2016-4553, CVE-2016-4554, CVE-2016-4555, CVE-2016-4556