Scientific Linux 安全性更新：SL6.x i386/x86_64 上的 squid

medium Nessus Plugin ID 64960

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

在 Squid Cache Manager 處理某些要求的方式中發現拒絕服務瑕疵。能夠存取 Cache Manager CGI 的遠端攻擊者可以利用此瑕疵，使 Squid 耗用大量記憶體。(CVE-2012-5643)

此更新也可修正下列錯誤：

- 由於 ConnStateData::noteMoreBodySpaceAvailable() 函式中有一個錯誤，導致 Squid 的子處理程序會在遇到宣告失敗時終止。現已提供上游修補程式，因此 Squid 子處理程序不再會終止。

- 由於上游修補程式會將控制持續連線的 HTTP 標頭從「Proxy-Connection」重新命名為「Connection」，導致 NTLM 通道驗證不會運作，因而無法登入。此更新會將新的‘http10’選項加入至 squid.conf 檔，這可用來啟用修補程式中的變更。此選項預設為‘off’。
設為‘on’時，NTLM 通過驗證會正常運作，因此可讓登入嘗試成功。

- 當停用 IPv6 通訊協定且 Squid 嘗試處理包含 IPv6 位址的 HTTP GET 要求時，Squid 子處理程序會因為訊號 6 而終止。此錯誤已修正，現可如預期處理這類要求。

- 由於對原始伺服器重新驗證成功，導致舊的「stale if hit」邏輯不會將已儲存之過時回應變成新回應的情況納入考慮。
因此，系統會傳回不正確的警告訊息。
現在，Squid 不再將上述狀況中的元素標示為過時。

- 在 samba-winbind 之前安裝 squid 套件時，wbpriv 群組不會包含 Squid。因此，NTLM 驗證呼叫會失敗。現在，如果在Squid 之前安裝 samba-winbind，則 Squid 會將本身正確地加入至 wbpriv 群組，因而修正此錯誤。

- 在 FIPS 模式下，Squid 使用私用的 MD5 雜湊函式進行使用者驗證和網路存取。MD5 與 FIPS 模式不相容，因此 Squid 無法啟動。
此更新會將私用 MD5 函式的使用限制為本機磁碟檔案雜湊識別碼，因此可讓 Squid 在 FIPS 模式下運作。

- 在高系統負載之下，squid 處理程序在重新開機期間可因為分割錯誤而意外終止。此更新會在重新開機期間提供更佳的記憶體處理方式，因此可修正此錯誤。

- Squid 會以較之伺服器端連線高很多的值，不正確地設定用戶端 HTTP 連線的逾時限制，因而產生不必要的延遲。
透過此更新，Squid 會為用戶端逾時限制使用適當的值。

- 產生錯誤頁面內容時，Squid 無法正確釋放已配置的記憶體，這會造成記憶體洩漏。因此，Squid Proxy 伺服器會在短期間內耗用大量記憶體。此更新會修正此記憶體洩漏的問題。

- Squid 無法將 ident 值傳遞至使用「url_rewrite_program」指示詞設定的 URL 重寫程式。因此，URL 重寫程式會收到破折號字元 ('') 做為使用者值，而不是正確的使用者名稱。現在，URL 重寫程式在上述狀況中會收到正確的使用者名稱。

- 做為透明 Proxy 使用的 Squid 僅能處理 HTTP 通訊協定。先前可以定義存取通訊協定中包含星號字元 (*) 或未知通訊協定命名空間 URI 的 URL。
因此，在重新載入期間，會將「URL 無效」錯誤訊息記錄到 access.log 中。此更新可確保一律在透明 Proxy 中使用‘http://’，因此在此狀況下，不再會記錄錯誤訊息。

安裝此更新之後，squid 服務將會自動重新啟動。