PT-2020-13869 · Squid+5 · Squid+6

Christof Gerber

+1

·

Publicado

2020-06-30

·

Atualizado

2022-04-28

·

CVE-2020-14058

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do Squid anteriores à 4.12
Versões 5.x do Squid anteriores à 5.0.3
Descrição
Foi detectada uma falha no Squid devido ao uso de uma função potencialmente perigosa. O Squid e o auxiliar de validação de certificados padrão estão vulneráveis a um ataque de Negação de Serviço ao estabelecer uma conexão TLS com um servidor controlado por um invasor para HTTPS. Isso ocorre porque valores de erro não reconhecidos são mapeados para NULL, mas o código posterior espera que cada valor de erro seja mapeado para uma string de erro válida.
Recomendações
Para versões do Squid anteriores à 4.12, atualize para a versão 4.12 ou posterior.
Para versões do Squid 5.x anteriores à 5.0.3, atualize para a versão 5.0.3 ou posterior.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Identificadores relacionados

ALSA-2020:4743
ALT-PU-2020-3116
ALT-PU-2020-3140
ALT-PU-2020-3142
CESA-2020_4743
CVE-2020-14058
MGASA-2020-0332
OESA-2021-1092
RHSA-2020:4743
RHSA-2020_4743
RLSA-2020:4743

Produtos afetados

Alt Linux
Almalinux
Centos
Red Hat
Rocky Linux
Squid
Squid Cache