Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-06197

Опубликовано: 04 окт. 2021
Источник: fstec
CVSS3: 6.5
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость приложения Squid связана с чтением за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации с помощью подмены списка Squids известных маршрутизаторов WCCP и перенаправления трафика на контролируемый маршрутизатор

Вендор

ООО «Ред Софт»
Squid Software Foundation
ООО «РусБИТех-Астра»
АО «ИВК»
АО "НППКТ"

Наименование ПО

РЕД ОС
Squid
Astra Linux Special Edition
Альт 8 СП
ОСОН ОСнова Оnyx
Astra Linux Common Edition

Версия ПО

7.2 Муром (РЕД ОС)
до 5.2 (Squid)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)
1.6 «Смоленск» (Astra Linux Common Edition)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.2 Муром
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск»

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Squid:
https://github.com/squid-cache/squid/security/advisories/GHSA-rgf3-9v3p-qp82
Для РедОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/
Для ОСОН Основа:
Обновление программного обеспечения squid до версии 5.5-1
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
обновить пакет squid3 до 3.5.23-5+deb9u11+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 91%
0.07036
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-28116

CVSS3: 3.7
ubuntu
почти 5 лет назад

Squid through 4.14 and 5.x through 5.0.5, in some configurations, allows information disclosure because of an out-of-bounds read in WCCP protocol data. This can be leveraged as part of a chain for remote code execution as nobody.

redhat логотип

CVE-2021-28116

CVSS3: 5.3
redhat
почти 5 лет назад

Squid through 4.14 and 5.x through 5.0.5, in some configurations, allows information disclosure because of an out-of-bounds read in WCCP protocol data. This can be leveraged as part of a chain for remote code execution as nobody.

nvd логотип

CVE-2021-28116

CVSS3: 3.7
nvd
почти 5 лет назад

Squid through 4.14 and 5.x through 5.0.5, in some configurations, allows information disclosure because of an out-of-bounds read in WCCP protocol data. This can be leveraged as part of a chain for remote code execution as nobody.

debian логотип

CVE-2021-28116

CVSS3: 3.7
debian
почти 5 лет назад

Squid through 4.14 and 5.x through 5.0.5, in some configurations, allo ...

suse-cvrf логотип

openSUSE-SU-2021:3485-1

suse-cvrf
больше 4 лет назад

Security update for squid

EPSS

Процентиль: 91%
0.07036
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2