ГлавнаяБаза уязвимостей БДУ → BDU:2020-01858
5.8средняя

BDU:2020-01858 (CVE-2019-18677)

Уязвимость параметра append_domain прокси-сервера Squid, связанная с подделкой межсайтовых запросов, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность
Опубликовано: 2020-04-29
Описание

Уязвимость параметра append_domain прокси-сервера Squid связана с недостатками механизмов противодействия межсайтовой фальсификации. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным и нарушить их целостность

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP4)Ubuntu (19.04)Astra Linux Common Edition (2.12 «Орёл»)OpenSUSE Leap (15.0)SUSE Enterprise Storage (5)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)OpenSUSE Leap (15.1)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)SUSE Linux Enterprise Module for Server Applications (15 SP1)SUSE Linux Enterprise Module for Server Applications (15)SUSE OpenStack Cloud (8)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP3-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP5)
Способ устранения

Использование рекомендаций:
Для Squid:
http://www.squid-cache.org/Advisories/SQUID-2019_9.txt
https://github.com/squid-cache/squid/pull/427

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTM74TU2BSLT5B3H4F3UDW53672NVLMC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UEMOYTMCCFWK5NOXSXEIH5D2VGWVXR67/

Для Ubuntu:
https://usn.ubuntu.com/4213-1/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-18677/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/12/msg00011.html
https://security-tracker.debian.org/tracker/CVE-2019-18677

Для Astra Linux:
Обновление программного обеспечения (пакета squid) до 4.6-1+deb10u2 или более поздней версии
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения squid3 до версии 3.5.23-5+deb9u7

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл5.8 — средняя опасность
Источники и патчи
http://www.squid-cache.org/Advisories/SQUID-2019_9.txthttp://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-e5f1813a674848dde570f7920873e1071f96e0b4.patchhttp://www.squid-cache.org/Versions/v4/changesets/squid-4-36492033ea4097821a4f7ff3ddcb971fbd1e8ba0.patchhttps://github.com/squid-cache/squid/pull/427https://lists.debian.org/debian-lts-announce/2019/12/msg00011.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTM74TU2BSLT5B3H4F3UDW53672NVLMC/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UEMOYTMCCFWK5NOXSXEIH5D2VGWVXR67/https://nvd.nist.gov/vuln/detail/CVE-2019-18677
Проверьте безопасность своего сайта и почты → Полная проверка домена