ALT-PU-2025-14193-3

Обновление пакета squid в ветке sisyphus

Версия7.3-alt1

Задание#399557

Опубликовано2026-02-04

Макс. серьёзностьCRITICAL

Серьёзность:

Закрытые проблемы (4)

CRITICAL10.0

Уязвимость конфигурации email_err_data on прокси-сервера Squid, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-10-22Изменено: 2026-03-04

CVSS 3.xКРИТИЧЕСКАЯ 10.0

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N

CVSS 2.0КРИТИЧЕСКАЯ 9.4

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:N

Ссылки

CVE-2025-62168

MEDIUM4.0

Уязвимость функции asn_build_objid() прокси-сервера Squid, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-11-18Изменено: 2026-03-04

CVSS 3.xСРЕДНЯЯ 4.0

CVSS:3.x/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVSS 2.0НИЗКАЯ 2.1

CVSS:2.0/AV:L/AC:L/Au:N/C:N/I:N/A:P

Ссылки

CVE-2025-59362

MEDIUM4.0

Squid through 7.1 mishandles ASN.1 encoding of long SNMP OIDs. This occurs in asn_build_objid in lib/snmplib/asn1.c.

Опубликовано: 2025-09-26Изменено: 2025-10-07

CVSS 3.xСРЕДНЯЯ 4.0

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Ссылки

HIGH7.5

Squid is a caching proxy for the Web. In Squid versions prior to 7.2, a failure to redact HTTP authentication credentials in error handling allows information disclosure. The vulnerability allows a script to bypass browser security protections and learn the credentials a trusted client uses to authenticate. This potentially allows a remote client to identify security tokens or credentials used internally by a web application using Squid for backend load balancing. These attacks do not require Squid to be configured with HTTP authentication. The vulnerability is fixed in version 7.2. As a workaround, disable debug information in administrator mailto links generated by Squid by configuring squid.conf with email_err_data off.

Опубликовано: 2025-10-17Изменено: 2025-11-05

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Ссылки