[TLP:CLEAR] Squid opravuje vysoce závažnou zranitelnost
Squid verzí 6.10 opravuje vysoce závažnou zranitelnost [1].
Neautentizovanému vzdálenému útočníkovi je skrze důvěryhodný server při zpracování obsahu Edge Side Includes (ESI) odpovědí umožněno vykonat DoS útok. Zranitelnost je zneužitelná v systémech s povolenými ESI, což lze ověřit spuštěním příkazu "squid -v": pro zranitelné verze, pokud výstup příkazu neobsahuje text "--disable-esi", pro opravené verze, pokud výstup obsahuje text "--enable-esi" [1].
Zranitelnost se nachází v produktu Squid ve verzích (>=3.0 AND <=5.10) OR (>=6.0.1 AND <=6.9).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-45802 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 28. 10. 2024.