Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (14.07.2015):
Für Fedora 22 steht ein neues Sicherheitsupdates auf die Squid-Version
3.4.13 in Form des Paketes squid-3.4.13-2.fc22 im Status ‘testing’ zur
Verfügung. Das vorherige Update (FEDORA-2015-9692) wurde in den Status
‘obsolete’ überführt.
Version 2 (10.06.2015):
Für die Distributionen Fedora 20, Fedora 21 und Fedora 22 stehen
Sicherheitsupdates auf die Squid-Version 3.3.14 bzw. 3.4.13 im Status
‘testing’ bereit.
Version 1 (04.05.2015):
Neues Advisory

Betroffene Software:

Squid <= 3.2.13 Squid <= 3.3.13 Squid <= 3.4.12 Squid <= 3.5.3 Betroffene Plattformen: GNU/Linux Red Hat Fedora 20 Red Hat Fedora 21 Red Hat Fedora 22 Durch eine Schwachstelle in Squid kann ein entfernter, nicht authentifizierter Angreifer Sicherheitsvorkehrungen umgehen. Diese Schwachstelle wird durch Sicherheitsupdates auf die Versionen 3.5.4, 3.4.13, 3.3.14 und 3.2.14 behoben. Patch: Squid Security Advisory SQUID-2015:1 http://www.squid-cache.org/Advisories/SQUID-2015_1.txt

Patch:

Fedora Security Update FEDORA-2015-9703

https://admin.fedoraproject.org/updates/FEDORA-2015-9703/squid-3.3.14-1.fc20

Patch:

Fedora Security Update FEDORA-2015-9744

https://admin.fedoraproject.org/updates/FEDORA-2015-9744/squid-3.4.13-1.fc21

Patch:

Fedora Security Update FEDORA-2015-11473

https://admin.fedoraproject.org/updates/FEDORA-2015-11473/squid-3.4.13-2.fc22

CVE-2015-3455: Schwachstelle in Squid erlaubt Umgehen der
Client-Zertifikatsvalidierung

Eine Schwachstelle besteht darin, dass bei X.509-Serverzertifikaten die
Domain- / Hostnamenfelder nicht korrekt überprüft werden. Dadurch kann ein
entfernter Server die Client-Zertifikatsvalidierung umgehen oder es können
gültige Zertifikate, die von einer global anerkannten Certificate Authority
(CA) für eine andere Domain ausgestellt wurden, zur Authentisierung
verwendet werden. Die Schwachstelle kann nur ausgenutzt werden, wenn Squid
so konfiguriert ist, dass SSL-Bumping mit “client-first” durchgeführt wird
oder im “bump”-Operationsmodus. Webseiten, die SSL-Bump nicht verwenden,
sind nicht verwundbar.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0641/

Squid Security Advisory SQUID-2015:1:
http://www.squid-cache.org/Advisories/SQUID-2015_1.txt

Schwachstelle CVE-2015-3455 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3455

Fedora Security Update FEDORA-2015-9703:
https://admin.fedoraproject.org/updates/FEDORA-2015-9703/squid-3.3.14-1.fc20

Fedora Security Update FEDORA-2015-9744:
https://admin.fedoraproject.org/updates/FEDORA-2015-9744/squid-3.4.13-1.fc21

Fedora Security Update FEDORA-2015-11473:
https://admin.fedoraproject.org/updates/FEDORA-2015-11473/squid-3.4.13-2.fc22

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (10.06.2015):
Für die Distributionen Fedora 20, Fedora 21 und Fedora 22 stehen
Sicherheitsupdates auf die Squid-Version 3.3.14 bzw. 3.4.13 im Status
‘testing’ bereit.
Version 1 (04.05.2015):
Neues Advisory

Betroffene Software:

Squid <= 3.2.13 Squid <= 3.3.13 Squid <= 3.4.12 Squid <= 3.5.3 Betroffene Plattformen: GNU/Linux Red Hat Fedora 20 Red Hat Fedora 21 Red Hat Fedora 22 Durch eine Schwachstelle in Squid kann ein entfernter, nicht authentifizierter Angreifer Sicherheitsvorkehrungen umgehen. Diese Schwachstelle wird durch Sicherheitsupdates auf die Versionen 3.5.4, 3.4.13, 3.3.14 und 3.2.14 behoben. Patch: Squid Security Advisory SQUID-2015:1 http://www.squid-cache.org/Advisories/SQUID-2015_1.txt

Patch:

Fedora Security Update FEDORA-2015-9692

https://admin.fedoraproject.org/updates/FEDORA-2015-9692/squid-3.4.13-1.fc22

Patch:

Fedora Security Update FEDORA-2015-9703

https://admin.fedoraproject.org/updates/FEDORA-2015-9703/squid-3.3.14-1.fc20

Patch:

Fedora Security Update FEDORA-2015-9744

https://admin.fedoraproject.org/updates/FEDORA-2015-9744/squid-3.4.13-1.fc21

CVE-2015-3455: Schwachstelle in Squid erlaubt Umgehen der
Client-Zertifikatsvalidierung

Eine Schwachstelle besteht darin, dass bei X.509-Serverzertifikaten die
Domain- / Hostnamenfelder nicht korrekt überprüft werden. Dadurch kann ein
entfernter Server die Client-Zertifikatsvalidierung umgehen oder es können
gültige Zertifikate, die von einer global anerkannten Certificate Authority
(CA) für eine andere Domain ausgestellt wurden, zur Authentisierung
verwendet werden. Die Schwachstelle kann nur ausgenutzt werden, wenn Squid
so konfiguriert ist, dass SSL-Bumping mit “client-first” durchgeführt wird
oder im “bump”-Operationsmodus. Webseiten, die SSL-Bump nicht verwenden,
sind nicht verwundbar.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0641/

Squid Security Advisory SQUID-2015:1:
http://www.squid-cache.org/Advisories/SQUID-2015_1.txt

Schwachstelle CVE-2015-3455 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3455

Fedora Security Update FEDORA-2015-9692:
https://admin.fedoraproject.org/updates/FEDORA-2015-9692/squid-3.4.13-1.fc22

Fedora Security Update FEDORA-2015-9703:
https://admin.fedoraproject.org/updates/FEDORA-2015-9703/squid-3.3.14-1.fc20

Fedora Security Update FEDORA-2015-9744:
https://admin.fedoraproject.org/updates/FEDORA-2015-9744/squid-3.4.13-1.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.