JPCERT/CC WEEKLY REPORT 2019-11-13【3】Squid に複数の脆弱性を調査してみた

8184 ワード
redhat7 squid centos7 CentOS CentOS テキストリンク

こんにちは。オープンソース・ワークショップの牟田口です。

JPCERT/CC WEEKLY REPORT 2019-11-13でプロキシソフトのSquid に複数の脆弱性が発表されましたので、
CentOS7の対応がどんなものか調査しました。

CentOSはRed Hat Enterprise Linuxのクローンですので対応状況は、Red Hat Customer PortalのCVE Database で調べる事ができます。

Red Hat Enterprise Linux 7をCnetOS7に読み替えて、
CVE6件中、内5件がWill not fix(直らないでしょう)、内1件Affected(影響を受ける=修正待ち)でした。

参考になれば幸いです。

JPCERT/CC WEEKLY REPORT 2019-11-13

【3】Squid に複数の脆弱性

CentOS7 2019/11/24時点のsquidバージョン

$ rpm -q squid
squid-3.5.20-12.el7_6.1.x86_64

CVE

【3】Squid に複数の脆弱性の詳細

squid-cache.org
Heap Overflow issue in URN processing.
http://www.squid-cache.org/Advisories/SQUID-2019_7.txt

(google翻訳)
アドバイザリID:SQUID-2019:7
日付:2019年11月5日
概要:ヒープオーバーフローの問題
                    URN処理中。
影響を受けるバージョン:Squid 3.x-> 3.5.28
                    Squid 4.x-> 4.8
修正されたバージョン:Squid 4.9
__________________________________________________________________

    http://www.squid-cache.org/Advisories/SQUID-2019_7.txt
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12526

squid-cache.org
Multiple issues in URI processing.
http://www.squid-cache.org/Advisories/SQUID-2019_8.txt

(google翻訳)
アドバイザリID:SQUID-2019:8
日付:2019年11月5日
要約:URI処理における複数の問題。
影響を受けるバージョン:Squid 3.x-> 3.5.28
                    Squid 4.x-> 4.8
修正されたバージョン:Squid 4.9
__________________________________________________________________

    http://www.squid-cache.org/Advisories/SQUID-2019_8.txt
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12523
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18676

squid-cache.org
Cross-Site Request Forgery issue in HTTP Request processing.
http://www.squid-cache.org/Advisories/SQUID-2019_9.txt

(google翻訳)
アドバイザリID:SQUID-2019:9
日付:2019年11月5日
概要:クロスサイトリクエストフォージェリの問題
                    HTTPリクエスト処理。
影響を受けるバージョン:Squid 2.x-> 2.7.STABLE9
                    イカ3.x-> 3.5.28
                    Squid 4.x-> 4.8
修正されたバージョン:Squid 4.9
__________________________________________________________________

    http://www.squid-cache.org/Advisories/SQUID-2019_9.txt
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18677

(google翻訳)
squid-cache.org
HTTP Request Splitting issue in HTTP message processing.
http://www.squid-cache.org/Advisories/SQUID-2019_10.txt

アドバイザリID:SQUID-2019:10
日付:2019年11月5日
要約:HTTPリクエストの分割の問題
                    HTTPメッセージ処理。
影響を受けるバージョン:Squid 3.0-> 3.5.28
                    Squid 4.x-> 4.8
修正されたバージョン:Squid 4.9
__________________________________________________________________

    http://www.squid-cache.org/Advisories/SQUID-2019_10.txt
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18678

squid-cache.org
Information Disclosure issue in HTTP Digest Authentication.
http://www.squid-cache.org/Advisories/SQUID-2019_11.txt

(google翻訳)
アドバイザリID:SQUID-2019:11
日付:2019年11月5日
概要:情報開示の問題
                    HTTPダイジェスト認証。
影響を受けるバージョン:Squid 2.x-> 2.7.STABLE9
                    イカ3.x-> 3.5.28
                    Squid 4.x-> 4.8
修正されたバージョン:Squid 4.9
__________________________________________________________________

    http://www.squid-cache.org/Advisories/SQUID-2019_11.txt
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18679
C+|C++入門チュートリアル(四)プログラムフロー構造
27-python_GUI-レイアウト管理-イベント処理