BDU:2020-02594: Уязвимость прокси-сервера Squid, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю получить доступ к функциям, которые могут использовать только обратные прокси

Описание уязвимости Уязвимость прокси-сервера Squid существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к функциям, которые могут использовать только обратные прокси
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc., ООО «Ред Софт», Squid Software Foundation
Наименование ПО Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise Server for SAP Applications, SUSE OpenStack Cloud, Suse Linux Enterprise Server, Astra Linux Common Edition (запись в едином реестре российских программ №4433), SUSE Enterprise Storage, SUSE Linux Enterprise Point of Sale, SUSE OpenStack Cloud Crowbar, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Squid
Версия ПО
  • 9 (Debian GNU/Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 7 (SUSE OpenStack Cloud)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 5 (SUSE Enterprise Storage)
  • 12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)
  • 12 SP2-BCL (Suse Linux Enterprise Server)
  • 12 SP2-ESPOS (Suse Linux Enterprise Server)
  • 12 SP2-LTSS (Suse Linux Enterprise Server)
  • 12 SP3-LTSS (Suse Linux Enterprise Server)
  • 10.0 (Debian GNU/Linux)
  • 8 (SUSE OpenStack Cloud)
  • 12 SP3-BCL (Suse Linux Enterprise Server)
  • 12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 8 (SUSE OpenStack Cloud Crowbar)
  • 8 (Debian GNU/Linux)
  • 7.2 Муром (РЕД ОС)
  • 12 SP3-ESPOS (Suse Linux Enterprise Server)
  • 12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • от 3.0 до 3.5.28 включительно (Squid)
  • от 4.0 до 4.7 включительно (Squid)
  • от 5.0 до 5.0.1 включительно (Squid)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369)
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Novell Inc. Suse Linux Enterprise Server 12 SP4
  • ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433)
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-BCL
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-LTSS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8
  • ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751)
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-ESPOS
  • ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
Тип ошибки Недостаточная проверка вводимых данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 15.04.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-12520

Для РЕД ОС:
Обновление операционной системы до актуальной версии

Для Squid:
https://github.com/squid-cache/squid/commits/v4

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-12520

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения