レッドハット | オープンソース・カンパニー

Skip to content

Security Advisory 中(Moderate): squid のセキュリティアップデート

アップデートID:

RHSA-2008:0214-3

タイプ:Security Advisory
重大性:中/Moderate
発行日:2008年4月8日
最終更新日:2008年4月8日
影響のある製品: RHEL Desktop Workstation (v. 5 client)
Red Hat Desktop (v. 3)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux (v. 5 server)
Red Hat Enterprise Linux AS (v. 2.1)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux ES (v. 2.1)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 3)
Red Hat Enterprise Linux WS (v. 4)
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
OVAL:com.redhat.rhsa-20080214.xml
CVEs (cve.mitre.org):CVE-2008-1612

詳細

セキュリティ問題を修正したsquidのアップデートパッケージがRed Hat Enterprise Linux 2.1、3、4、および5で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています 。

squidは、FTP、gopher、およびHTTPデータオブジェクトをサポートした、Webクライアント用の高性能プロキシキャッシングサーバです。

squidが不正に手が加えられたHTTPヘッダをキャッシュオブジェクトとしてシステムメモリ中にストアする過程で、1つの問題が発見されました。この脆弱性は、アタッカーによるsquidの子プロセスの作成を許してしまいます。これによって既に確立されているコネクションが中断されたり、プロキシサービスが提供できなくなってしまいます。留意点:squidの親プロセスは子プロセスを起動するため、このアタックは一時的なDoS攻撃を発生させるだけに留まります。(CVE-2008-1612)

squidのユーザは、この問題を解決するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。


解決法

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

RHEL Desktop Workstation (v. 5 client)
SRPMS:
squid-2.6.STABLE6-5.el5_1.3.src.rpm     bf96e790ba507f1aecbdfe23e81d4d74
 
IA-32:
squid-2.6.STABLE6-5.el5_1.3.i386.rpm     f78ade43630f91f32e82b7de9569d9f2
 
x86_64:
squid-2.6.STABLE6-5.el5_1.3.x86_64.rpm     14c3edc7d1d633f9ef053f3e3aa761e5
 
Red Hat Desktop (v. 3)
SRPMS:
squid-2.5.STABLE3-9.3E.src.rpm     2ff42eacd9bcc2b234c3071106468908
 
IA-32:
squid-2.5.STABLE3-9.3E.i386.rpm     0b3acee75fd7f55a4845c6398d4b3e1e
 
x86_64:
squid-2.5.STABLE3-9.3E.x86_64.rpm     6110789319deb8b3d19ccb19262f7185
 
Red Hat Desktop (v. 4)
SRPMS:
squid-2.5.STABLE14-1.4E.el4_6.2.src.rpm     fd0d98ef185697d96e6ac63d1b7da0e6
 
IA-32:
squid-2.5.STABLE14-1.4E.el4_6.2.i386.rpm     90bc1a58d58da0968e6e987ea9beb8db
 
x86_64:
squid-2.5.STABLE14-1.4E.el4_6.2.x86_64.rpm     9590a424849e3075d5b18d5f58b1f497
 
Red Hat Enterprise Linux (v. 5 server)
SRPMS:
squid-2.6.STABLE6-5.el5_1.3.src.rpm     bf96e790ba507f1aecbdfe23e81d4d74
 
IA-32:
squid-2.6.STABLE6-5.el5_1.3.i386.rpm     f78ade43630f91f32e82b7de9569d9f2
 
IA-64:
squid-2.6.STABLE6-5.el5_1.3.ia64.rpm     a24f2d466270518a2e17cf0ae2683c67
 
PPC:
squid-2.6.STABLE6-5.el5_1.3.ppc.rpm     06f62691aa6fb148d98a1ff9e8a9975a
 
s390x:
squid-2.6.STABLE6-5.el5_1.3.s390x.rpm     c2ac49b5932f623781a584dd1f6c8b86
 
x86_64:
squid-2.6.STABLE6-5.el5_1.3.x86_64.rpm     14c3edc7d1d633f9ef053f3e3aa761e5
 
Red Hat Enterprise Linux AS (v. 2.1)
SRPMS:
squid-2.4.STABLE7-1.21as.12.src.rpm     0728c90364cb13ea1d799f9d6cd4c0c3
 
IA-32:
squid-2.4.STABLE7-1.21as.12.i386.rpm     7f9788efe98295e121cb637f1e083a84
 
IA-64:
squid-2.4.STABLE7-1.21as.12.ia64.rpm     7bda4a709ebf8e9e47e2c99130a7c21e
 
Red Hat Enterprise Linux AS (v. 3)
SRPMS:
squid-2.5.STABLE3-9.3E.src.rpm     2ff42eacd9bcc2b234c3071106468908
 
IA-32:
squid-2.5.STABLE3-9.3E.i386.rpm     0b3acee75fd7f55a4845c6398d4b3e1e
 
IA-64:
squid-2.5.STABLE3-9.3E.ia64.rpm     454094e5092ad8ac1c2602e4b4b10f4c
 
PPC:
squid-2.5.STABLE3-9.3E.ppc.rpm     840118f9107205c82b8d5687d4747773
 
s390:
squid-2.5.STABLE3-9.3E.s390.rpm     40081713439d4d45228c944824b726b0
 
s390x:
squid-2.5.STABLE3-9.3E.s390x.rpm     a5eead1e9b49862976e0c71797c015e9
 
x86_64:
squid-2.5.STABLE3-9.3E.x86_64.rpm     6110789319deb8b3d19ccb19262f7185
 
Red Hat Enterprise Linux AS (v. 4)
SRPMS:
squid-2.5.STABLE14-1.4E.el4_6.2.src.rpm     fd0d98ef185697d96e6ac63d1b7da0e6
 
IA-32:
squid-2.5.STABLE14-1.4E.el4_6.2.i386.rpm     90bc1a58d58da0968e6e987ea9beb8db
 
IA-64:
squid-2.5.STABLE14-1.4E.el4_6.2.ia64.rpm     a8823d56cfe119daafaf8709ca401e42
 
PPC:
squid-2.5.STABLE14-1.4E.el4_6.2.ppc.rpm     4e342689c1d824b31e5aff280e5deecf
 
s390:
squid-2.5.STABLE14-1.4E.el4_6.2.s390.rpm     88c281776c850aeb5cee14df1455ca10
 
s390x:
squid-2.5.STABLE14-1.4E.el4_6.2.s390x.rpm     6c775fd631a4a0d241d2c94bae2d444c
 
x86_64:
squid-2.5.STABLE14-1.4E.el4_6.2.x86_64.rpm     9590a424849e3075d5b18d5f58b1f497
 
Red Hat Enterprise Linux ES (v. 2.1)
SRPMS:
squid-2.4.STABLE7-1.21as.12.src.rpm     0728c90364cb13ea1d799f9d6cd4c0c3
 
IA-32:
squid-2.4.STABLE7-1.21as.12.i386.rpm     7f9788efe98295e121cb637f1e083a84
 
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
squid-2.5.STABLE3-9.3E.src.rpm     2ff42eacd9bcc2b234c3071106468908
 
IA-32:
squid-2.5.STABLE3-9.3E.i386.rpm     0b3acee75fd7f55a4845c6398d4b3e1e
 
IA-64:
squid-2.5.STABLE3-9.3E.ia64.rpm     454094e5092ad8ac1c2602e4b4b10f4c
 
x86_64:
squid-2.5.STABLE3-9.3E.x86_64.rpm     6110789319deb8b3d19ccb19262f7185
 
Red Hat Enterprise Linux ES (v. 4)
SRPMS:
squid-2.5.STABLE14-1.4E.el4_6.2.src.rpm     fd0d98ef185697d96e6ac63d1b7da0e6
 
IA-32:
squid-2.5.STABLE14-1.4E.el4_6.2.i386.rpm     90bc1a58d58da0968e6e987ea9beb8db
 
IA-64:
squid-2.5.STABLE14-1.4E.el4_6.2.ia64.rpm     a8823d56cfe119daafaf8709ca401e42
 
x86_64:
squid-2.5.STABLE14-1.4E.el4_6.2.x86_64.rpm     9590a424849e3075d5b18d5f58b1f497
 
Red Hat Enterprise Linux WS (v. 3)
SRPMS:
squid-2.5.STABLE3-9.3E.src.rpm     2ff42eacd9bcc2b234c3071106468908
 
IA-32:
squid-2.5.STABLE3-9.3E.i386.rpm     0b3acee75fd7f55a4845c6398d4b3e1e
 
IA-64:
squid-2.5.STABLE3-9.3E.ia64.rpm     454094e5092ad8ac1c2602e4b4b10f4c
 
x86_64:
squid-2.5.STABLE3-9.3E.x86_64.rpm     6110789319deb8b3d19ccb19262f7185
 
Red Hat Enterprise Linux WS (v. 4)
SRPMS:
squid-2.5.STABLE14-1.4E.el4_6.2.src.rpm     fd0d98ef185697d96e6ac63d1b7da0e6
 
IA-32:
squid-2.5.STABLE14-1.4E.el4_6.2.i386.rpm     90bc1a58d58da0968e6e987ea9beb8db
 
IA-64:
squid-2.5.STABLE14-1.4E.el4_6.2.ia64.rpm     a8823d56cfe119daafaf8709ca401e42
 
x86_64:
squid-2.5.STABLE14-1.4E.el4_6.2.x86_64.rpm     9590a424849e3075d5b18d5f58b1f497
 
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
SRPMS:
squid-2.4.STABLE7-1.21as.12.src.rpm     0728c90364cb13ea1d799f9d6cd4c0c3
 
IA-64:
squid-2.4.STABLE7-1.21as.12.ia64.rpm     7bda4a709ebf8e9e47e2c99130a7c21e
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

439801 - CVE-2008-1612 squid: regression in SQUID-2007:2 / CVE-2007-6239


参照

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1612
http://www.redhat.com/security/updates/classification/#moderate

ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/