ГлавнаяБаза уязвимостей БДУ → BDU:2020-02598
5высокая

BDU:2020-02598 (CVE-2020-8517)

Уязвимость прокси-сервера Squid, существующая из-за недостаточной проверки входных данных в ext_lm_group_acl, позволяющая нарушителю завершить процесс Squid и вызвать отказ в обслуживании для всех клиентов, использующих прокси
Опубликовано: 2020-06-05
Описание

Уязвимость прокси-сервера Squid существует из-за недостаточной проверки входных данных в ext_lm_group_acl. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, завершить процесс Squid и вызвать отказ в обслуживании для всех клиентов, использующих прокси

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP4)SUSE Enterprise Storage (5)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)OpenSUSE Leap (15.1)SUSE Linux Enterprise Server for SAP Applications (15)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)SUSE Linux Enterprise Module for Server Applications (15 SP1)SUSE OpenStack Cloud (8)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP3-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE OpenStack Cloud Crowbar (8)РЕД ОС (7.2 Муром)HPE Helion Openstack (8)Suse Linux Enterprise Server (12 SP3-ESPOS)
Способ устранения

Использование рекомендаций:
Для Squid:
Обновление программного обеспечения до актуальной версии

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-8517/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-8517

Для РЕД ОС:
Обновление операционной системы до актуальной версии

Для Ubuntu:
https://usn.ubuntu.com/4289-1/


Для Astra Linux:

Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения squid до версии 5.5-1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
http://www.squid-cache.org/Advisories/SQUID-2020_3.txthttp://www.squid-cache.org/Versions/v4/changesets/squid-4-6982f1187a26557e582172965e266f544ea562a5.patchhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8517https://nvd.nist.gov/vuln/detail/CVE-2020-8517https://security-tracker.debian.org/tracker/CVE-2020-8517https://usn.ubuntu.com/4289-1/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://www.mail-archive.com/squid-announce@lists.squid-cache.org/msg00107.html
Проверьте безопасность своего сайта и почты → Полная проверка домена