{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<TT>Squid</TT> versions 2.5.STABLE4 et  ant\u00e9rieures.","content":"## Description\n\nSquid est un serveur mandataire (proxy) pour les protocoles HTTP, HTTPS\net FTP. Deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans Squid permettant \u00e0\nun utilisateur mal intentionn\u00e9 de contourner la politique de s\u00e9curit\u00e9,\nnotamment de contourner les contr\u00f4les d'acc\u00e8s bas\u00e9s sur la directive\nurl_regex.\n\n## Solution\n\nMettre \u00e0 jour Squid en version 2.5.STABLE5 ou appliquer le correctif\nfournit par l'\u00e9diteur :\n\n-   Site pour le t\u00e9l\u00e9chargement de Squid :\n\n        http://www.squid-cache.org/Versions/v2/2.5/\n\n-   Bulletin de s\u00e9curit\u00e9 RHSA-2004:133 pour Red Hat :\n\n        http://rhn.redhat.com/errata/RHSA-2004-133.html\n\n-   Bulletin de s\u00e9curit\u00e9 RHSA-2004:134 pour Red Hat :\n\n        http://rhn.redhat.com/errata/RHSA-2004-134.html\n\n-   Bulletin de s\u00e9curit\u00e9 MDKSA-2004:025 de Mandrake :\n\n        http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:025\n\n-   Bulletin de s\u00e9curit\u00e9 GLSA 200403-11 de Gentoo :\n\n        http://www.securityfocus.com/advisories/6495\n\n-   Bulletin de s\u00e9curit\u00e9 DSA-474 de Debian :\n\n        http://www.debian.org/security/2004/dsa-474\n\n-   Bulletin de s\u00e9curit\u00e9 SGI 20040404-01-U du 21 avril 2004 :\n\n        ftp://patches.sgi.com/support/free/security/advisories/20040404-01-U.asc\n\n  \n\nNote : pour v\u00e9rifier la version de Squid, taper la commande :  \nsquid -v\n","cves":[],"links":[{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD squid :","url":"ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities"},{"title":"Avis de s\u00e9curit\u00e9 FreeBSD du 26 mars mars 2004 :","url":"http://www.vuxml.org/freebsd/"}],"reference":"CERTA-2004-AVI-062","revisions":[{"description":"version initiale.","revision_date":"2004-03-03T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Red Hat. Ajout r\u00e9f\u00e9rence CVE.","revision_date":"2004-03-30T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Mandrake.","revision_date":"2004-03-31T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Gentoo.","revision_date":"2004-04-01T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Debian.","revision_date":"2004-04-05T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 RedHat et SGI.","revision_date":"2004-05-10T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 FreeBSD et NetBSD.","revision_date":"2004-05-12T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Deux vuln\u00e9rabilit\u00e9s dans Squid permettent \u00e0 un utilisateur mal\nintentionn\u00e9 de contourner la politique de s\u00e9curit\u00e9 mise en place.\n","title":"Vuln\u00e9rabilit\u00e9 de Squid","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 de Squid SQUID-2004:1","url":"http://www.squid-cache.org/Advisories/SQUID-2004_1.txt"}]}