6.4критическая
BDU:2020-01478 (CVE-2019-12523)
Уязвимость прокси-сервера Squid, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю получить доступ к ограниченным HTTP-серверам
Опубликовано: 2020-04-14
Описание
Уязвимость прокси-сервера Squid существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к ограниченным HTTP-серверам с помощью специально сформированных HTTP-запроса
Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP4)Ubuntu (19.04)OpenSUSE Leap (15.0)SUSE Enterprise Storage (5)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)OpenSUSE Leap (15.1)Suse Linux Enterprise Server (12 SP2-LTSS)Fedora (30)Suse Linux Enterprise Server (12 SP3-LTSS)SUSE Linux Enterprise Module for Server Applications (15 SP1)SUSE Linux Enterprise Module for Server Applications (15)SUSE OpenStack Cloud (8)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP3-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP5)
Способ устранения
Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-12523/
Для Ubuntu:
https://usn.ubuntu.com/4213-1/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTM74TU2BSLT5B3H4F3UDW53672NVLMC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UEMOYTMCCFWK5NOXSXEIH5D2VGWVXR67/
Для Squid:
https://bugzilla.suse.com/show_bug.cgi?id=1156329
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-12523
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения squid3 до версии 3.5.23-5+deb9u7
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Оценка CVSS
| Балл | 6.4 — критическая опасность |
Источники и патчи