Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Squid Malformed Host Name Message d'Erreur Information Leakage

22/01/2007 07H43
Référence Secunia : SA13408 
Date de publication : 2004-12-09
Dernière mise à jour : 2005-08-22

Risque : Non Critique. Niveau 2 sur 5.
Impact : Exposition d'informations systèmes, Exposition de données sensibles
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Squid 2.x

Référence CVE :
CVE-2004-2479


Description :
Artur Szostak a rapporté une vulnérabilité dans Squid, qui pourrait être exploitée par des personnes malintentionnées pour prendre connaissance de données potentiellement sensibles.

La vulnérabilité est causée du fait d'une erreur quand retournant des messages d'erreurs dans réponse à malformed host names. Cela pourrait dans certaines circonstances leak random information à propos de par ex. d'autres requêtes dans des messages d'erreurs.

La vulnérabilité a été rapportée dans Squid-2.5 sur toutes les plateformes.


Solutions :
Appliquer le correctif:
http://www.squid-cache.org/Versions/v2/2.5/bugs/squid-2.5.STABLE7-dothost.patch


Vulnérabilité découverte par :

Artur Szostak
Historique :
2005-08-22: Référence CVE ajoutée.

Référence :
http://www.squid-cache.org/bugs/show_bug.cgi?id=1143






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.