ГлавнаяБаза уязвимостей БДУ → BDU:2023-00066
6.8средняя

BDU:2023-00066 (CVE-2022-41317)

Уязвимость кэширующего прокси-сервера Squid, связанная с неправильным контролем доступа, позволяющая нарушителю получить доступ к конфиденциальной информации
Опубликовано: 2023-01-12
Описание

Уязвимость кэширующего прокси-сервера Squid связана с непоследовательной обработкой внутренних URI. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти защиту диспетчера ACL и получить доступ к информации диспетчера кэша, которая включает в себя записи о внутренней структуре сети, учетных данных клиента, идентификаторе клиента и поведении клиентского трафика

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Ubuntu (20.04 LTS)OpenSUSE Leap (15.3)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)OpenSUSE Leap (15.4)Альт 8 СПUbuntu (22.04 LTS)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.6)Squid (от 4.9 до 4.17 включительно)Squid (от 5.0.6 до 5.7)Astra Linux Common Edition (1.6 «Смоленск»)РОСА ХРОМ (12.4)
Способ устранения

Использование рекомендаций:
Для Squid:
https://github.com/squid-cache/squid/security/advisories/GHSA-rcg9-7fqm-83mq

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-41317

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-41317.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-41317

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5641-1

Для ОС ТД АИС ФССП России: Обновление программного средства до актуальной версии

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения squid до версии 5.7-1

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2273

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux Special Edition 1.7:
обновить пакет squid до 4.6-1+deb10u8+ci202211301324+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОС Astra Linux:
обновить пакет squid3 до 3.5.23-5+deb9u11+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://github.com/squid-cache/squid/security/advisories/GHSA-rcg9-7fqm-83mqhttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://security-tracker.debian.org/tracker/CVE-2022-41317https://www.suse.com/security/cve/CVE-2022-41317.htmlhttps://access.redhat.com/security/cve/CVE-2022-41317https://ubuntu.com/security/notices/USN-5641-1https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD
Проверьте безопасность своего сайта и почты → Полная проверка домена