AXSA:2016-464:02

リリース日: 
2016/05/31 Tuesday - 16:05
題名: 
squid-3.1.23-16.AXS4.4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Squid の cachemgr.cgi には、バッファーオーバーフローが存在し、巧妙に細工されたデータをマネージャーレポートに配布することによって、リモートの攻撃者がサービス拒否を引き起こす、あるいは任意のコードを実行する可能性のある脆弱性があります。(CVE-2016-4051)

- Squid には、複数のスタックベースのバッファーオーバーフローが存在し、巧妙に細工された Edge Side Includes (ESI) のレスポンスによって、リモートの HTTP サーバがサービス拒否を引き起こす、あるいは任意のコードを実行する脆弱性があります。(CVE-2016-4052)

- Squid には、assert 関数の誤った使用とコンパイラ最適化に関連した巧妙に細工された Edge Side Includes (ESI) のレスポンスによって、リモートの攻撃者が重要なスタックレイアウト情報を取得する脆弱性があります。(CVE-2016-4053)

- Squid には、バッファーオーバーフローが存在し、巧妙に細工された Edge Side Includes (ESI) のレスポンスによって、リモートの攻撃者が任意のコードを実行する脆弱性があります。(CVE-2016-4054)

- Squid の mime_header.cc には、巧妙に細工された HTTP ホストヘッダによって、リモートの攻撃者が、意図された same-origin の制限を回避し、キャッシュポイズニング攻撃を実行する可能性のある脆弱性、別名 "header smuggling" があります。(CVE-2016-4554)

- Squid の Esi.cc には、二重解放の脆弱性が存在し、巧妙に細工された Edge Side Includes (ESI) のレスポンスによって、リモートのサーバがサービス拒否 (クラッシュ) を引き起こす脆弱性があります。(CVE-2016-4556)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. squid-3.1.23-16.AXS4.4.src.rpm
    MD5: d7066778a0131ccdc6e6e370874ed3f4
    SHA-256: 2749ffbfd6cf2060a99c81ad251fbeb6551704fea961fc214ce826b1d844396e
    Size: 2.53 MB

Asianux Server 4 for x86
  1. squid-3.1.23-16.AXS4.4.i686.rpm
    MD5: 8fd24b77d81b9c2b1248615adb339ad2
    SHA-256: 29a97a3e54720fa7ba988a298727d242444e1838f6b67b3ca49d6048eeaae962
    Size: 1.83 MB

Asianux Server 4 for x86_64
  1. squid-3.1.23-16.AXS4.4.x86_64.rpm
    MD5: 7f611f8c791264105604b6d48b18594e
    SHA-256: 356e3133a2375b9df7acb29683c8d1584a29ebe6425ca63462fd14f22f05274a
    Size: 1.83 MB
Copyright© 2007-2015 Asianux. All rights reserved.