BDU:2020-01858
Novell Inc., Canonical Ltd., АО «ИВК», АО «Концерн ВНИИНС», Squid Software Foundation, Сообщество св Astra Linux Special Edition для «Эльбрус», Astra Linux Common Edition, SUSE Enterprise Storage, Альт
2019-11-26
Уязвимость параметра append_domain прокси-сервера Squid связана с недостатками механизмов противодействия межсайтовой фальсификации. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным и нарушить их целостность
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Squid: http://www.squid-cache.org/Advisories/SQUID-2019_9.txt https://github.com/squid-cache/squid/pull/427
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTM74TU2BSLT5B3H4F3UDW53672NVLMC/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UEMOYTMCCFWK5NOXSXEIH5D2VGWVXR67/
Для Ubuntu: https://usn.ubuntu.com/4213-1/
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-18677/
Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2019/12/msg00011.html https://security-tracker.debian.org/tracker/CVE-2019-18677
Для Astra Linux: Обновление программного обеспечения (пакета squid) до 4.6-1+deb10u2 или более поздней версии Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»: Обновление программного обеспечения squid3 до версии 3.5.23-5+deb9u7
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства