UPDATE: DFN-CERT-2014-1285 Squid: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe und das Ausspähen von Informationen [Linux]

UPDATE: DFN-CERT-2014-1285 Squid: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe und das Ausspähen von Informationen [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (26.11.2014):
Canonical stellt für die Distributionen Ubuntu 14.04 LTS und Ubuntu 14.10
Sicherheitsupdates zur Verfügung.
Version 1 (01.10.2014):
Neues Advisory

Betroffene Software:

Squid <= 3.4.7 Betroffene Plattformen: Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 GNU/Linux Zwei Schwachstellen in Squid Pinger ermöglichen einem entfernten, nicht authentifizierten Angreifer, Denial-of-Service-Angriffe durchzuführen oder Informationen auszuspähen. Patch: Squid Hersteller Advisory SQUID-2014:4 http://www.squid-cache.org/Advisories/SQUID-2014_4.txt

Patch:

Ubuntu Security Notice USN-2422-1

http://www.ubuntu.com/usn/usn-2422-1/

CVE-2014-7142: Schwachstelle in Squid ermöglicht DoS-Angriffe und das
Ausspähen von Informationen

Eingabedaten bei der Verarbeitung von ICMP/ICMPv6-Paketen werden von Squid
Pinger unzureichend überprüft. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den Squid Pinger zum
Absturz zu bringen oder Daten vom Heap in Squid Log-Files zu schreiben.

CVE-2014-7141: Schwachstelle in Squid ermöglicht DoS-Angriffe und das
Ausspähen von Informationen

Bei der Verarbeitung von ICMP/ICMPv6-Paketen werden Speichergrenzen von
Squid Pinger unzureichend überprüft. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den Squid Pinger zum
Absturz zu bringen oder Daten vom Heap in Squid Log-Files zu schreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1285/

Squid Hersteller Advisory SQUID-2014:4:
http://www.squid-cache.org/Advisories/SQUID-2014_4.txt

Schwachstelle CVE-2014-7141 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7141

Schwachstelle CVE-2014-7142 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7142

Ubuntu Security Notice USN-2422-1:
http://www.ubuntu.com/usn/usn-2422-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben