ГлавнаяБаза уязвимостей БДУ → BDU:2020-02395
7.5критическая

BDU:2020-02395 (CVE-2019-12525)

Уязвимость компонента Proxy-Authentication прокси-сервера Squid, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Опубликовано: 2020-05-29
Описание

Уязвимость компонента Proxy-Authentication прокси-сервера Squid связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)Ubuntu (12.04 ESM)Ubuntu (19.04)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Squid (от 4.0 до 4.7 включительно)Squid (от 3.3.9 до 3.5.28 включительно)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Squid:
https://github.com/squid-cache/squid/commits/v4
http://www.squid-cache.org/Versions/v4/changesets/squid-4-7f73e9c5d17664b882ed32590e6af310c247f320.patch

Для Ubuntu:
https://usn.ubuntu.com/4065-1/
https://usn.ubuntu.com/4065-2/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SPXN2CLAGN5QSQBTOV5IGVLDOQSRFNTZ/

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00053.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00056.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-12525

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-12525

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения squid3 до версии 3.5.23-5+deb9u7

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
http://www.squid-cache.org/Versions/v4/changesets/http://www.squid-cache.org/Versions/v4/changesets/squid-4-7f73e9c5d17664b882ed32590e6af310c247f320.patchhttps://access.redhat.com/security/cve/CVE-2019-12525https://github.com/squid-cache/squid/commits/v4https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SPXN2CLAGN5QSQBTOV5IGVLDOQSRFNTZ/https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00053.htmlhttps://lists.opensuse.org/opensuse-security-announce/2019-11/msg00056.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-12525
Проверьте безопасность своего сайта и почты → Полная проверка домена