Vulnérabilité de Squid

Gestion du document

Référence	CERTA-2005-AVI-371-002
Titre	Vulnérabilité de Squid
Date de la première version	03 octobre 2005
Date de la dernière version	12 octobre 2005
Source(s)	Rapport d'erreur Squid Bugzilla #1391 du 15 septembre 2005
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service.

Systèmes affectés

Squid versions 2.5.STABLE10 et antérieures.

Résumé

Une vulnérabilité dans Squid permet à un utilisateur distant mal intentionné de provoquer un déni de service.

Description

Une erreur dans la mise en œuvre dans Squid de l'authentification utilisant le protocole de Microsoft : NTLM (NT Lan Manager) permet à un utilisateur distant mal intentionné de provoquer un déni de service sur le système vulnérable par le biais d'une requête malicieusement constituée.

Solution

Se référer aux bulletins de sécurité des éditeurs pour l'obtention de correctifs (cf. Documentation).

Documentation

Rapport d'erreur Squid Bugzilla #1391 du 15 septembre 2005 :
```
http://www.squid-cache.org/bugs/show_bug.cgi?id=1391
```
Bulletin de sécurité Debian DSA-828 du 30 septembre 2005 :
```
http://www.debian.org/security/2005/dsa-828
```
Bulletin de sécurité Mandriva MDKSA-2005:181 du 11 octobre 2005 :
```
http://www.mandriva.com/security/advisories?name=MDKSA-2005:181
```
Bulletin de sécurité Ubuntu USN-192-1 du 30 septembre 2005 :
```
http://www.ubuntu.com/usn/usn-192-1
```
Bulletin de sécurité RedHat RHSA-2006-0052 du 07 mars 2006 :
```
https://rhn.redhat.com/errata/RHSA-2006-0052.html
```

Référence CVE CAN-2005-2917 :

https://www.cve.org/CVERecord?id=CAN-2005-2917

Gestion détaillée du document

le 08 mars 2005: ajout de la référence au bulletin de sécurité RedHat.

le 03 octobre 2005: version initiale.

le 12 octobre 2005: ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:181.

Avis du CERT-FR

Objet: Vulnérabilité de Squid