ГлавнаяБаза уязвимостей БДУ → BDU:2020-02594
5высокая

BDU:2020-02594 (CVE-2019-12520)

Уязвимость прокси-сервера Squid, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю получить доступ к функциям, которые могут использовать только обратные прокси
Опубликовано: 2020-06-05
Описание

Уязвимость прокси-сервера Squid существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к функциям, которые могут использовать только обратные прокси

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP4)Astra Linux Common Edition (2.12 «Орёл»)SUSE Enterprise Storage (5)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)SUSE OpenStack Cloud (8)Suse Linux Enterprise Server (12 SP3-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP3-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP3-LTSS)SUSE OpenStack Cloud Crowbar (8)Debian GNU/Linux (8)Debian GNU/Linux (10)РЕД ОС (7.2 Муром)Suse Linux Enterprise Server (12 SP3-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP3-ESPOS)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Squid (от 3.0 до 3.5.28 включительно)Squid (от 4.0 до 4.7 включительно)
Способ устранения

Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-12520

Для РЕД ОС:
Обновление операционной системы до актуальной версии

Для Squid:
https://github.com/squid-cache/squid/commits/v4

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-12520

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения squid3 до версии 3.5.23-5+deb9u7

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
http://www.squid-cache.org/Versions/v4/http://www.squid-cache.org/Versions/v4/changesets/https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12520https://github.com/squid-cache/squid/commits/v4https://nvd.nist.gov/vuln/detail/CVE-2019-12520https://security-tracker.debian.org/tracker/CVE-2019-12520https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://www.mail-archive.com/squid-announce@lists.squid-cache.org/msg00107.html
Проверьте безопасность своего сайта и почты → Полная проверка домена