S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 02 avril 2002
N° CERTA-2002-AVI-068
Affaire suivie par: CERT-FR
le 02 avril 2002

Avis du CERT-FR

Objet: Vulnérabilité dans Squid

Gestion du document

Référence CERTA-2002-AVI-068
Titre Vulnérabilité dans Squid
Date de la première version 02 avril 2002
Date de la dernière version 02 avril 2002
Source(s) Avis de sécurité SQUID-2002:2
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service.

Systèmes affectés

Toutes les versions de SQUID jusqu'à la version 2.4.STABLE4.

Résumé

L'exploitation d'une vulnérabilité présente dans SQUID permet de réaliser un déni de service entrainant l'arrêt de ce dernier.

Description

SQUID est un serveur mandataire (proxy) pour le protocole HTTP disponible sur de nombreuses plateformes.

Une vulnérabilité de type débordement mémoire présente dans le code de traitement des réponses DNS peut être exploitée par un utilisateur mal intentionné via un serveur DNS hostile afin de réaliser un déni de service entrainant l'arrêt de SQUID.

Contournement provisoire

A partir de la version 2.4, SQUID peut utiliser un serveur dns externe. Recompiler SQUID en utilisant la directive de compilation -disable-internal-dns.

Solution

La version 2.4.STABLE6 corrige le problème.

Documentation

Avis de sécurité de SQUID-2002:2 disponible à l'adresse suivante : 

http://www.squid-cache.org/Advisories/SQUID-2002_2.txt

Gestion détaillée du document

    le 02 avril 2002
    version initiale.