[TLP:CLEAR] Squid opravuje vysoce závažnou zranitelnost

Squid verzí 6.10 opravuje vysoce závažnou zranitelnost [1].

Squid - denial of service (CVE-2024-45802) CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je skrze důvěryhodný server při zpracování obsahu Edge Side Includes (ESI) odpovědí umožněno vykonat DoS útok. Zranitelnost je zneužitelná v systémech s povolenými ESI, což lze ověřit spuštěním příkazu "squid -v": pro zranitelné verze, pokud výstup příkazu neobsahuje text "--disable-esi", pro opravené verze, pokud výstup obsahuje text "--enable-esi" [1].

Zranitelnost se nachází v produktu Squid ve verzích (>=3.0 AND <=5.10) OR (>=6.0.1 AND <=6.9).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 28. 10. 2024.


Publikovala Michaela Ručková dne 30. 10. 2024.

CESNET CERTS Logo