Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Squid <= 3.2.13 Squid <= 3.3.13 Squid <= 3.4.12 Squid <= 3.5.3 Betroffene Plattformen: GNU/Linux Durch eine Schwachstelle in Squid kann ein entfernter, nicht authentifizierter Angreifer Sicherheitsvorkehrungen umgehen. Diese Schwachstelle wird durch Sicherheitsupdates auf die Versionen 3.5.4, 3.4.13, 3.3.14 und 3.2.14 behoben. Patch: Squid Security Advisory SQUID-2015:1 http://www.squid-cache.org/Advisories/SQUID-2015_1.txt

CVE-2015-3455: Schwachstelle in Squid erlaubt Umgehen der
Client-Zertifikatsvalidierung

Eine Schwachstelle besteht darin, dass bei X.509-Serverzertifikaten die
Domain- / Hostnamenfelder nicht korrekt überprüft werden. Dadurch kann ein
entfernter Server die Client-Zertifikatsvalidierung umgehen oder es können
gültige Zertifikate, die von einer global anerkannten Certificate Authority
(CA) für eine andere Domain ausgestellt wurden, zur Authentisierung
verwendet werden. Die Schwachstelle kann nur ausgenutzt werden, wenn Squid
so konfiguriert ist, dass SSL-Bumping mit “client-first” durchgeführt wird
oder im “bump”-Operationsmodus. Webseiten, die SSL-Bump nicht verwenden,
sind nicht verwundbar.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0641/

Squid Security Advisory SQUID-2015:1:
http://www.squid-cache.org/Advisories/SQUID-2015_1.txt

Schwachstelle CVE-2015-3455 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3455

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.