ГлавнаяБаза уязвимостей БДУ → BDU:2020-02396
10критическая

BDU:2020-02396 (CVE-2019-12527)

Уязвимость функции HttpHeader::getAuth прокси-сервера Squid, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Опубликовано: 2020-05-29
Описание

Уязвимость функции HttpHeader::getAuth прокси-сервера Squid связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или выполнить произвольный код

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Fedora (29)Ubuntu (19.04)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Debian GNU/Linux (8)Debian GNU/Linux (10)Squid (от 4.0.23 до 4.7 включительно)
Способ устранения

Использование рекомендаций:
Для Squid:
http://www.squid-cache.org/Versions/v4/changesets/
http://www.squid-cache.org/Versions/v4/changesets/squid-4-7f73e9c5d17664b882ed32590e6af310c247f320.patch
https://github.com/squid-cache/squid/commits/v4

Для Ubuntu:
https://usn.ubuntu.com/4065-1/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SPXN2CLAGN5QSQBTOV5IGVLDOQSRFNTZ/

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00053.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00056.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-12527

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-12527

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-12527.html?_ga=2.249264647.1237142402.1563167419-1618695258.1547637860http://www.squid-cache.org/Versions/v4/changesets/http://www.squid-cache.org/Versions/v4/changesets/squid-4-7f73e9c5d17664b882ed32590e6af310c247f320.patchhttps://github.com/squid-cache/squid/commits/v4https://usn.ubuntu.com/4065-1/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SPXN2CLAGN5QSQBTOV5IGVLDOQSRFNTZ/https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00053.htmlhttps://lists.opensuse.org/opensuse-security-announce/2019-11/msg00056.html
Проверьте безопасность своего сайта и почты → Полная проверка домена