こんにちは。オープンソース・ワークショップの牟田口です。
JPCERT/CC WEEKLY REPORT 2019-11-13でプロキシソフトのSquid に複数の脆弱性が発表されましたので、
CentOS7の対応がどんなものか調査しました。
CentOSはRed Hat Enterprise Linuxのクローンですので対応状況は、Red Hat Customer PortalのCVE Database で調べる事ができます。
Red Hat Enterprise Linux 7をCnetOS7に読み替えて、
CVE6件中、内5件がWill not fix(直らないでしょう)、内1件Affected(影響を受ける=修正待ち)でした。
参考になれば幸いです。
JPCERT/CC WEEKLY REPORT 2019-11-13
CentOS7 2019/11/24時点のsquidバージョン
$ rpm -q squid
squid-3.5.20-12.el7_6.1.x86_64
CVE
-
SQUID-2019_7
- CVE-2019-12526
-
https://access.redhat.com/security/cve/cve-2019-12526
- Red Hat Enterprise Linux 7| Will not fix(直らないでしょう)
-
SQUID-2019_8
- CVE-2019-12523
- CVE-2019-18676
-
https://access.redhat.com/security/cve/CVE-2019-12523
- Red Hat Enterprise Linux 7| Affected(影響を受ける)
- 11/24 修正まだない
-
https://access.redhat.com/security/cve/CVE-2019-18676
- Red Hat Enterprise Linux 7| Will not fix(直らないでしょう)
-
SQUID-2019_9
- CVE-2019-18677
-
https://access.redhat.com/security/cve/CVE-2019-18677
- Red Hat Enterprise Linux 7| Will not fix(直らないでしょう)
-
SQUID-2019_10
- CVE-2019-18678
-
https://access.redhat.com/security/cve/CVE-2019-18678
- Red Hat Enterprise Linux 7| Will not fix(直らないでしょう)
-
SQUID-2019_11
- CVE-2019-18679
-
https://access.redhat.com/security/cve/CVE-2019-18679
- Red Hat Enterprise Linux 7| Will not fix(直らないでしょう)/
【3】Squid に複数の脆弱性の詳細
squid-cache.org
Heap Overflow issue in URN processing.
http://www.squid-cache.org/Advisories/SQUID-2019_7.txt
(google翻訳)
アドバイザリID:SQUID-2019:7
日付:2019年11月5日
概要:ヒープオーバーフローの問題
URN処理中。
影響を受けるバージョン:Squid 3.x-> 3.5.28
Squid 4.x-> 4.8
修正されたバージョン:Squid 4.9
__________________________________________________________________
http://www.squid-cache.org/Advisories/SQUID-2019_7.txt
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12526
squid-cache.org
Multiple issues in URI processing.
http://www.squid-cache.org/Advisories/SQUID-2019_8.txt
(google翻訳)
アドバイザリID:SQUID-2019:8
日付:2019年11月5日
要約:URI処理における複数の問題。
影響を受けるバージョン:Squid 3.x-> 3.5.28
Squid 4.x-> 4.8
修正されたバージョン:Squid 4.9
__________________________________________________________________
http://www.squid-cache.org/Advisories/SQUID-2019_8.txt
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12523
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18676
squid-cache.org
Cross-Site Request Forgery issue in HTTP Request processing.
http://www.squid-cache.org/Advisories/SQUID-2019_9.txt
(google翻訳)
アドバイザリID:SQUID-2019:9
日付:2019年11月5日
概要:クロスサイトリクエストフォージェリの問題
HTTPリクエスト処理。
影響を受けるバージョン:Squid 2.x-> 2.7.STABLE9
イカ3.x-> 3.5.28
Squid 4.x-> 4.8
修正されたバージョン:Squid 4.9
__________________________________________________________________
http://www.squid-cache.org/Advisories/SQUID-2019_9.txt
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18677
(google翻訳)
squid-cache.org
HTTP Request Splitting issue in HTTP message processing.
http://www.squid-cache.org/Advisories/SQUID-2019_10.txt
アドバイザリID:SQUID-2019:10
日付:2019年11月5日
要約:HTTPリクエストの分割の問題
HTTPメッセージ処理。
影響を受けるバージョン:Squid 3.0-> 3.5.28
Squid 4.x-> 4.8
修正されたバージョン:Squid 4.9
__________________________________________________________________
http://www.squid-cache.org/Advisories/SQUID-2019_10.txt
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18678
squid-cache.org
Information Disclosure issue in HTTP Digest Authentication.
http://www.squid-cache.org/Advisories/SQUID-2019_11.txt
(google翻訳)
アドバイザリID:SQUID-2019:11
日付:2019年11月5日
概要:情報開示の問題
HTTPダイジェスト認証。
影響を受けるバージョン:Squid 2.x-> 2.7.STABLE9
イカ3.x-> 3.5.28
Squid 4.x-> 4.8
修正されたバージョン:Squid 4.9
__________________________________________________________________
http://www.squid-cache.org/Advisories/SQUID-2019_11.txt
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18679