Отказ в обслуживании в Squid

Дата публикации:
05.02.2009
Дата изменения:
12.02.2009
Всего просмотров:
4222
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Squid 2.x
Squid 3.x
Уязвимые версии: Squid версии до 2.7.STABLE6, 3.0.STABLE13 и 3.1.0.5

Описание:
Уязвимость позволяет удаленному пользователю произвести DoS атаку.

Уязвимость существует из-за ошибки при обработке специально сформированного HTTP запроса, содержащего некорректный номер версии в файлах HttpMsg.c и HttpStatusLine.c. Удаленный клиент может с помощью специально сформированного запроса вызвать отказ в обслуживании приложения.

URL производителя: www.squid-cache.org

Решение: Установите последнюю версию 2.7.STABLE6, 3.0.STABLE13, 3.1.0.5 или исправление с сайта производителя.

Squid 2.7:
http://www.squid-cache.org/Versions/v2/2.7/changesets/12432.patch
http://www.squid-cache.org/Versions/v2/2.7/changesets/12442.patch

Squid 3.0:
http://www.squid-cache.org/Versions/v3/3.0/changesets/b8964.patch
http://www.squid-cache.org/Versions/v3/3.0/changesets/b8965.patch

Squid 3.1:
http://www.squid-cache.org/Versions/v3/3.1/changesets/b9414.patch
http://www.squid-cache.org/Versions/v3/3.1/changesets/b9418.patch

Журнал изменений:

09.02.2009
Изменено описание уязвимости.
12.02.2009
Добавлен PoC код.

Ссылки: Squid Proxy Cache Security Update Advisory SQUID-2009:1
Squid < 3.1 5 HTTP Version Number Parsing Denial of Service Exploit

или введите имя

CAPTCHA