Выпуск прокси-сервера Squid 3.4.8 с устранением уязвимостей

Доступна новая версия прокси-сервера Squid 3.4.8, в которой устранены две уязвимости:

  • CVE-2014-6270 — переполнение буфера при обработке SNMP-запросов, позволяющее клиенту, имеющему доступ к SNMP-интерфейсу Squid инициировать отказ в обслуживании через отправку специально оформленного запроса. Проблема имеет характер 0-day уязвимости для которой зафиксировано проведение атак. В уведомлении не говорится о возможности организации выполнение кода злоумышленника, но теоретически такая возможность не исключена, так проблема позволяет переписать данные за пределами выделенного буфера.
  • CVE-2014-7141, CVE-2014-7142 — проблемы при обработке пакетов ICMP и ICMPv6, позволяющие вызвать отказ в обслуживании или организовать
    или утечку информации из кучи в файлы с логами через отправку ненормально больших пакетов ICMP/ICMPv6 к Squid pinger helper. Проблему усугубляет то, что pinger helper выполняется с правами root.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.