BDU:2021-01748: Уязвимость заголовка запросов прокси-сервера Squid, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных

Описание уязвимости Уязвимость заголовка запросов прокси-сервера Squid связана с недостатком в интерпретации HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных
Вендор Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Fedora Project, Squid Software Foundation
Наименование ПО Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Fedora, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Squid
Версия ПО
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 19.04 (Ubuntu)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 30 (Fedora)
  • 10.0 (Debian GNU/Linux)
  • 31 (Fedora)
  • 19.10 (Ubuntu)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • от 3.0 до 3.5.28 включительно (Squid)
  • от 4.0 до 4.8 включительно (Squid)
Тип ПО Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Непоследовательная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов')
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 26.11.2019
Базовый вектор уязвимости
    CVSS 3.0: Вектор не задан
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Squid:
Обновление программного обеспечения до 4.11-5 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета squid) до 4.6-1+deb10u2 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета squid) до 4.6-1+deb10u2 или более поздней версии
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4213-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTM74TU2BSLT5B3H4F3UDW53672NVLMC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UEMOYTMCCFWK5NOXSXEIH5D2VGWVXR67/
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения