ГлавнаяБаза уязвимостей БДУ → BDU:2020-04037
6.5высокая

BDU:2020-04037 (CVE-2020-15049)

Уязвимость компонента http/ContentLengthInterpreter.cc прокси-сервера Squid, позволяющая нарушителю отравлять содержимое кэша
Опубликовано: 2020-08-26
Описание

Уязвимость компонента http/ContentLengthInterpreter.cc прокси-сервера Squid связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отравлять содержимое кэша с помощью специально созданного HTTP(S)-запроса

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Squid (от 3.0 до 3.5.28 включительно)Squid (от 2.0 до 2.7.STABLE9 включительно)Squid (от 4.0 до 4.11 включительно)Squid (5.0.1)Squid (5.0.2)ОСОН ОСнова Оnyx (до 2.5)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Fedora :
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3RG5FGSTCAYVIJPJHIY3MRZ7NFT6HDO7/

Для Squid:
http://www.squid-cache.org/Versions/v4/changesets/squid-4-ea12a34d338b962707d5078d6d1fc7c6eb119a22.patch

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-15049

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОСОН Основа:
Обновление программного обеспечения squid до версии 5.5-1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения squid3 до версии 3.5.23-5+deb9u7

Оценка CVSS
Балл6.5 — высокая опасность
Источники и патчи
http://www.squid-cache.org/Versions/v4/changesets/squid-4-ea12a34d338b962707d5078d6d1fc7c6eb119a22.patchhttp://www.squid-cache.org/Versions/v5/changesets/squid-5-485c9a7bb1bba88754e07ad0094647ea57a6eb8d.patchhttps://github.com/squid-cache/squid/security/advisories/GHSA-qf3v-rc95-96j5https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3RG5FGSTCAYVIJPJHIY3MRZ7NFT6HDO7/https://nvd.nist.gov/vuln/detail/CVE-2020-15049https://security-tracker.debian.org/tracker/CVE-2020-15049https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://www.debian.org/security/2020/dsa-4732
Проверьте безопасность своего сайта и почты → Полная проверка домена