ГлавнаяБаза уязвимостей БДУ → BDU:2020-02595
7.5высокая

BDU:2020-02595 (CVE-2019-12524)

Уязвимость прокси-сервера Squid, связанная с отсутствием механизма аутентификации для url_regex, позволяющая нарушителю получить доступ к заблокированному ресурсу
Опубликовано: 2020-06-05
Описание

Уязвимость прокси-сервера Squid связана с отсутствием механизма аутентификации для url_regex. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к заблокированному ресурсу

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP4)Astra Linux Common Edition (2.12 «Орёл»)SUSE Enterprise Storage (5)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)SUSE OpenStack Cloud (8)Suse Linux Enterprise Server (12 SP3-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP3-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP3-LTSS)SUSE OpenStack Cloud Crowbar (8)Debian GNU/Linux (8)Debian GNU/Linux (10)РЕД ОС (7.2 Муром)HPE Helion Openstack (8)Suse Linux Enterprise Server (12 SP3-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP3-ESPOS)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Squid (от 3.0 до 3.5.28 включительно)
Способ устранения

Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-12524/

Для РЕД ОС:
Обновление операционной системы до актуальной версии

Для Squid:
http://www.squid-cache.org/Advisories/SQUID-2019_4.txt

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-12524

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения squid3 до версии 3.5.23-5+deb9u7

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12524https://nvd.nist.gov/vuln/detail/CVE-2019-12524https://security-tracker.debian.org/tracker/CVE-2019-12524https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://www.mail-archive.com/squid-announce@lists.squid-cache.org/msg00107.htmlhttps://www.suse.com/security/cve/CVE-2019-12524/https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена