Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-04037: Уязвимость компонента http/ContentLengthInterpreter.cc прокси-сервера Squid, позволяющая нарушителю отравлять содержимое кэша

Описание уязвимости	Уязвимость компонента http/ContentLengthInterpreter.cc прокси-сервера Squid связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отравлять содержимое кэша с помощью специально созданного HTTP(S)-запроса
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Fedora Project, Squid Software Foundation, АО "НППКТ"
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Fedora, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Squid, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 10.0 (Debian GNU/Linux) 10 (Debian GNU/Linux) 31 (Fedora) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») от 3.0 до 3.5.28 включительно (Squid) от 2.0 до 2.7.STABLE9 включительно (Squid) от 4.0 до 4.11 включительно (Squid) 5.0.1 (Squid) 5.0.2 (Squid) до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Fedora Project Fedora 31 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
Тип ошибки	Непоследовательная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов')
Идентификатор типа ошибки	CWE-444
Класс уязвимости	Уязвимость архитектуры
Дата выявления	30.06.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:P/A:P CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Fedora : https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3RG5FGSTCAYVIJPJHIY3MRZ7NFT6HDO7/ Для Squid: http://www.squid-cache.org/Versions/v4/changesets/squid-4-ea12a34d338b962707d5078d6d1fc7c6eb119a22.patch Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-15049 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 Для ОСОН Основа: Обновление программного обеспечения squid до версии 5.5-1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Подмена при взаимодействии
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://www.squid-cache.org/Versions/v4/changesets/squid-4-ea12a34d338b962707d5078d6d1fc7c6eb119a22.patch http://www.squid-cache.org/Versions/v5/changesets/squid-5-485c9a7bb1bba88754e07ad0094647ea57a6eb8d.patch https://github.com/squid-cache/squid/security/advisories/GHSA-qf3v-rc95-96j5 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3RG5FGSTCAYVIJPJHIY3MRZ7NFT6HDO7/ https://nvd.nist.gov/vuln/detail/CVE-2020-15049 https://security-tracker.debian.org/tracker/CVE-2020-15049 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.debian.org/security/2020/dsa-4732 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-15049
Прочая информация	Данные уточняются

Последние изменения