ГлавнаяБаза уязвимостей БДУ → BDU:2021-01747
7.5критическая

BDU:2021-01747 (CVE-2019-12519)

Уязвимость функции ESIExpression:: Evaluate прокси-сервера Squid, связанная с выходом операции за допустимые границы буфера данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2021-03-30
Описание

Уязвимость функции ESIExpression:: Evaluate прокси-сервера Squid связана с выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Debian GNU/Linux (10)Ubuntu (19.10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Squid (от 3.0 до 3.5.28 включительно)Squid (от 4.0 до 4.7 включительно)Ubuntu (20.04 LTS)Squid (от 5.0 до 5.0.1 включительно)OpenSUSE Leap (15.2)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00018.html

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4356-1

Для Squid:
http://www.squid-cache.org/Advisories/SQUID-2019_12.txt

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-12519

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения squid3 до версии 3.5.23-5+deb9u7

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2020/04/23/1https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00018.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-12519https://security.gentoo.org/glsa/202005-05https://security.netapp.com/advisory/ntap-20210205-0006/https://security-tracker.debian.org/tracker/CVE-2019-12519https://ubuntu.com/security/notices/USN-4356-1https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена