偵測

Oracle Linux 6 : squid (ELSA-2013-0505)

medium Nessus Plugin ID 68745

語系:

概要

遠端 Oracle Linux 主機缺少一個安全性更新。

說明

來自 Red Hat 安全性公告 2013:0505:

現已提供適用於 Red Hat Enterprise Linux 6 的更新版 squid 套件,可修正一個安全性問題和數個錯誤。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

Squid 是一個適用於 Web 用戶端的高效能 Proxy 快取伺服器,可支援 FTP、Gopher 和 HTTP 資料物件。

在 Squid Cache Manager 處理某些要求的方式中發現拒絕服務瑕疵。能夠存取 Cache Manager CGI 的遠端攻擊者可以利用此瑕疵,使 Squid 耗用大量記憶體。(CVE-2012-5643)

此更新也可修正下列錯誤:

* 由於 ConnStateData::noteMoreBodySpaceAvailable() 函式中有錯誤,Squid 的子處理程序會在遇到宣告失敗時終止。現已提供上游修補程式,因此 Squid 子處理程序不再會終止。(BZ#805879)

* 由於上游修補程式會將控制持續連線的 HTTP 標頭從「Proxy-Connection」重新命名為「Connection」,因此 NTLM 通過驗證不會運作,因而無法登入。
此更新會將新的‘http10’選項加入至 squid.conf 檔,這可用來啟用修補程式中的變更。此選項預設為‘off’。設為‘on’時,NTLM 通過驗證會正常運作,因此可讓登入嘗試成功。(BZ#844723)

* 當停用 IPv6 通訊協定且 Squid 嘗試處理包含 IPv6 位址的 HTTP GET 要求時,Squid 子處理程序會因為訊號 6 而終止。此錯誤已修正,現可如預期處理這類要求。(BZ#832484)

* 由於成功向原始伺服器重新驗證,舊的「stale if hit」邏輯不會將已儲存之過時回應變成新回應的情況考慮進去。因此,系統會傳回不正確的警告訊息。現在,Squid 不再將上述狀況中的元素標示為過時。(BZ#847056)

* 在 samba-winbind 之前安裝 squid 套件時,wbpriv 群組不會包含 Squid。因此,NTLM 驗證呼叫會失敗。現在,如果在Squid 之前安裝 samba-winbind,則 Squid 會將本身正確地加入至 wbpriv 群組,因而修正此錯誤。
(BZ#797571)

* 在 FIPS 模式下,Squid 使用私用的 MD5 雜湊函式進行使用者驗證和網路存取。MD5 與 FIPS 模式不相容,因此 Squid 無法啟動。此更新會將私用 MD5 函式的使用限制為本機磁碟檔案雜湊識別碼,因此可讓 Squid 在 FIPS 模式下運作。(BZ#833086)

* 在高系統負載之下,squid 處理程序在重新開機期間可因為分割錯誤而意外終止。此更新會在重新開機期間提供更佳的記憶體處理方式,因此可修正此錯誤。
(BZ#782732)

* Squid 會以較之伺服器端連線高很多的值,不正確地設定用戶端 HTTP 連線的逾時限制,因而產生不必要的延遲。透過此更新,Squid 會為用戶端逾時限制使用適當的值。(BZ#798090)

* 產生錯誤頁面內容時,Squid 無法正確釋出已配置的記憶體,這會造成記憶體洩漏。因此,Squid Proxy 伺服器會在短期間內耗用大量記憶體。此更新會修正此記憶體洩漏的問題。(BZ#758861)

* Squid 無法將 ident 值傳遞至使用「url_rewrite_program」指示詞設定的 URL 重寫程式。因此,URL 重寫程式會收到破折號字元 ('–') 作為使用者值,而不是正確的使用者名稱。現在,URL 重寫程式在上述狀況中會收到正確的使用者名稱。(BZ#797884)

* 作為透明 Proxy 使用的 Squid 僅能處理 HTTP 通訊協定。先前可以定義存取通訊協定中包含星號字元 (*) 或未知通訊協定命名空間 URI 的 URL。因此,在重新載入期間,會將「URL 無效」錯誤訊息記錄到 access.log 中。此更新可確保一律在透明 Proxy 中使用‘http://’,因此在此狀況下,不再會記錄錯誤訊息。(BZ#720504)

建議所有 squid 使用者皆升級至這些更新版套件,其可修正這些問題。安裝此更新之後,squid 服務將會自動重新啟動。

解決方案

更新受影響的 squid 套件。

另請參閱

https://oss.oracle.com/pipermail/el-errata/2013-February/003282.html

Plugin 詳細資訊

嚴重性: Medium

ID: 68745

檔案名稱: oraclelinux_ELSA-2013-0505.nasl

版本: 1.11

類型: local

代理程式: unix

已發布: 2013/7/12

已更新: 2021/1/14

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

弱點資訊

CPE: p-cpe:/a:oracle:linux:squid, cpe:/o:oracle:linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/2/25

弱點發布日期: 2012/12/20

參考資訊

CVE: CVE-2012-5643

BID: 56957

RHSA: 2013:0505