L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Squid : gestion incorrecte des ACL utilisant un fichier vide

Synthèse de la vulnérabilité 

Lorsqu'une ACL emploie un fichier vide, les règles sont trop permissives.
Logiciels impactés : Debian, Fedora, Mandriva Linux, RedHat Linux, Squid, TurboLinux.
Gravité de cette vulnérabilité informatique : 1/4.
Date de création : 07/02/2005.
Date de révision : 22/02/2005.
Références de cette annonce : 1166, CVE-2005-0194, DSA-667, DSA-667-1, FEDORA-2005-275, FEDORA-2005-276, FLSA-2006:152809, MDKSA-2005:078, TLSA-2005-24, V6-SQUIHTTPACCESSVIDE, VIGILANCE-VUL-4726, VU#260421.

Description de la vulnérabilité 

La directive http_access indique des ACL définissant les droits d'accès au cache. Par exemple :
  http_access allow acl1
Dans ce cas, l'ACL acl1 doit être acceptée pour que l'accès soit autorisé.

Une ACL peut employer des règles définies dans un fichier. Par exemple :
  acl acl1 src "fichier.txt"

Lorsqu'un fichier d'ACL :
 - contient 2 lignes, l'ACL est acceptée si l'une de ces deux lignes est approuvée
 - contient 1 ligne, l'ACL est acceptée si cette ligne est approuvée
 - contient 0 ligne, la logique serait que cette ACL ne soit jamais acceptée.
Cependant, lorsque le fichier d'ACL est vide, cette ACL est toujours acceptée.

Ainsi, l'accès aux systèmes employant un fichier d'ACL vide peut être toujours autorisé, au lieu d'être toujours interdit.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de menace informatique concerne les logiciels ou systèmes comme Debian, Fedora, Mandriva Linux, RedHat Linux, Squid, TurboLinux.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin cyber-sécurité est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client intranet.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de faille.

Solutions pour cette menace 

Squid : patch.
Un patch est disponible :
  http://www.squid-cache.org/Versions/v2/2.5/bugs/squid-2.5.STABLE7-empty_acls.patch
Une contre-mesure consiste à vérifier tous les warnings de "squid -k parse".

Debian : nouveaux paquetages squid.
De nouveaux paquetages sont disponibles :
  Source :
    http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody6.dsc
      Size/MD5 checksum: 612 f585baec3cc0548a0b6d3e21d185db50
    http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody6.diff.gz
      Size/MD5 checksum: 235426 85d38139f57a82f3c422421ad352e70e
    http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6.orig.tar.gz
      Size/MD5 checksum: 1081920 59ce2c58da189626d77e27b9702ca228
  Intel IA-32 :
    http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody6_i386.deb
      Size/MD5 checksum: 684246 5f932b6cd8e3fae41bee679b8f78ce9d
    http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody6_i386.deb
      Size/MD5 checksum: 73820 51b9d7d06722aa12086d5e321521c957
    http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody6_i386.deb
      Size/MD5 checksum: 58322 8fceca376dc96840d11e210f2796dcb4
  Intel IA-64 :
    http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody6_ia64.deb
      Size/MD5 checksum: 953904 aeaee5d9ee53e39a3aa1e1b775d12142
    http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody6_ia64.deb
      Size/MD5 checksum: 79392 1430eda6e1c2c4b4b8b7fade39efbdc4
    http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody6_ia64.deb
      Size/MD5 checksum: 62960 8cebaa32f4f3f17eef2d731fc4c154b3

Fedora : nouvaux paquetages squid.
De nouveaux paquetages sont disponibles :
  http://download.fedora.redhat.com/pub/fedora/linux/core/updates/2/
4f87823cc8d2e7dbbd1c6f0bc390c7a5 SRPMS/squid-2.5.STABLE9-1.FC2.2.src.rpm
e60b6b22ae7af50eca46e621155cfd90 x86_64/squid-2.5.STABLE9-1.FC2.2.x86_64.rpm
899e5cf5ee75a51ea8c2256bf4c2e205 x86_64/debug/squid-debuginfo-2.5.STABLE9-1.FC2.2.x86_64.rpm
f4bf9886e9c100e0ac9bf17b2e40f7d4 i386/squid-2.5.STABLE9-1.FC2.2.i386.rpm
9c06c585c6d113a154e99f8573c530dd i386/debug/squid-debuginfo-2.5.STABLE9-1.FC2.2.i386.rpm
  http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
402440397d0a352c5539cf99a1277ab7 SRPMS/squid-2.5.STABLE9-1.FC3.4.src.rpm
f41d841e3c2ad7cde69896f0efb9b243 x86_64/squid-2.5.STABLE9-1.FC3.4.x86_64.rpm
ceeb68cf5c12194835240059d08215db x86_64/debug/squid-debuginfo-2.5.STABLE9-1.FC3.4.x86_64.rpm
8857ae1347c3592347fc7caef24baf56 i386/squid-2.5.STABLE9-1.FC3.4.i386.rpm
a08fb359713307d62edc738317dcd85c i386/debug/squid-debuginfo-2.5.STABLE9-1.FC3.4.i386.rpm

Mandrake : nouveaux paquetages squid.
De nouveaux paquetages sont disponibles :
 Mandrakelinux 10.0:
 19b0bdb45e358fbccc080e09cf274bca 10.0/RPMS/squid-2.5.STABLE9-1.1.100mdk.i586.rpm
 5738f9bf3c36cd6092cca77960580467 10.0/SRPMS/squid-2.5.STABLE9-1.1.100mdk.src.rpm
 Mandrakelinux 10.0/AMD64:
 fc15ab0245c05d3ee9222caf700da7c7 amd64/10.0/RPMS/squid-2.5.STABLE9-1.1.100mdk.amd64.rpm
 5738f9bf3c36cd6092cca77960580467 amd64/10.0/SRPMS/squid-2.5.STABLE9-1.1.100mdk.src.rpm
 Mandrakelinux 10.1:
 258f532d766624e4f21936fa31150379 10.1/RPMS/squid-2.5.STABLE6-2.4.101mdk.i586.rpm
 f4a8b90704f752906ee1de301800eb17 10.1/RPMS/squid-2.5.STABLE9-1.1.101mdk.i586.rpm
 b6c79d25d11a58e589af08d0a20807a7 10.1/SRPMS/squid-2.5.STABLE9-1.1.101mdk.src.rpm
 Mandrakelinux 10.1/X86_64:
 df1d16c47e1fbe579633f26064a7c72e x86_64/10.1/RPMS/squid-2.5.STABLE9-1.1.101mdk.x86_64.rpm
 b6c79d25d11a58e589af08d0a20807a7 x86_64/10.1/SRPMS/squid-2.5.STABLE9-1.1.101mdk.src.rpm
 Mandrakelinux 10.2:
 81780136aa37f1ad1df50101b51914fa 10.2/RPMS/squid-2.5.STABLE9-1.1.102mdk.i586.rpm
 e81e7e584f36cc989cfc7c08a18b453c 10.2/SRPMS/squid-2.5.STABLE9-1.1.102mdk.src.rpm
 Mandrakelinux 10.2/X86_64:
 a8e6b2ebeafcae07a708256455508280 x86_64/10.2/RPMS/squid-2.5.STABLE9-1.1.102mdk.x86_64.rpm
 e81e7e584f36cc989cfc7c08a18b453c x86_64/10.2/SRPMS/squid-2.5.STABLE9-1.1.102mdk.src.rpm

Red Hat Linux, Fedora Core : nouveaux paquetages squid.
De nouveaux paquetages sont disponibles :
Red Hat Linux 7.3:
SRPM:
http://download.fedoralegacy.org/redhat/7.3/updates/SRPMS/squid-2.4.STABLE7-0.73.3.legacy.src.rpm
i386:
http://download.fedoralegacy.org/redhat/7.3/updates/i386/squid-2.4.STABLE7-0.73.3.legacy.i386.rpm
Red Hat Linux 9:
SRPM:
http://download.fedoralegacy.org/redhat/9/updates/SRPMS/squid-2.5.STABLE1-9.10.legacy.src.rpm
i386:
http://download.fedoralegacy.org/redhat/9/updates/i386/squid-2.5.STABLE1-9.10.legacy.i386.rpm
Fedora Core 1:
SRPM:
http://download.fedoralegacy.org/fedora/1/updates/SRPMS/squid-2.5.STABLE3-2.fc1.6.legacy.src.rpm
i386:
http://download.fedoralegacy.org/fedora/1/updates/i386/squid-2.5.STABLE3-2.fc1.6.legacy.i386.rpm
Fedora Core 2:
SRPM:
http://download.fedoralegacy.org/fedora/2/updates/SRPMS/squid-2.5.STABLE9-1.FC2.4.legacy.src.rpm
i386:
http://download.fedoralegacy.org/fedora/2/updates/i386/squid-2.5.STABLE9-1.FC2.4.legacy.i386.rpm

Turbolinux : nouveaux paquetages squid.
De nouveaux paquetages sont disponibles :
Turbolinux Appliance Server 1.0 Hosting Edition : squid-2.5.STABLE6-18
Turbolinux Appliance Server 1.0 Workgroup Edition : squid-2.5.STABLE6-18
Turbolinux 10 Server : squid-2.5.STABLE6-18
Turbolinux 8 Server : squid-2.5.STABLE6-18
Turbolinux 8 Workstation : squid-2.5.STABLE6-18
Turbolinux 7 Server : squid-2.5.STABLE6-18
Turbolinux 7 Workstation : squid-2.5.STABLE6-18
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un correctif de vulnérabilités de réseaux. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.