Squidの複数の脆弱性情報(Moderate: CVE-2019-12523, CVE-2019-12526, CVE-2019-18676, CVE-2019-18677, CVE-2019-18678, CVE-2019-18679)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

11/05/2019にSquidの複数の脆弱性情報(Moderate: CVE-2019-12523, CVE-2019-12526, CVE-2019-18676, CVE-2019-18677, CVE-2019-18678, CVE-2019-18679)と新バージョン(4.9)が公開されていました。遅くなりましたが、今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。




Priority

CVE番号 影響するバージョン Priority CVSS Score / CVSS Vector
CVE-2019-12526 Squid 3.x -> 3.5.28, Squid 4.x -> 4.8

Red Hat: Moderate

Red Hat: CVSS 8.1 / CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2019-12523

CVE-2019-18676
Squid 3.x -> 3.5.28, Squid 4.x -> 4.8

Red Hat: Moderate

(CVE-2019-12523)Red Hat: CVSS 7.4 / CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

(CVE-2019-18676)Red Hat: CVSS 5.9 / CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2019-18677 Squid 2.x -> 2.7.STABLE9, Squid 3.x -> 3.5.28, Squid 4.x -> 4.8

Red Hat: Moderate

Red Hat: CVSS 7.4 / CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2019-18678 Squid 3.0 -> 3.5.28, Squid 4.x -> 4.8

Red Hat: Moderate

Red Hat: CVSS 6.8 / CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N

CVE-2019-18679 Squid 2.x -> 2.7.STABLE9, Squid 3.x -> 3.5.28, Squid 4.x -> 4.8

Red Hat: Moderate

Red Hat: CVSS 5.9 / CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N


修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


セキュリティ系連載案内

セミナー情報1

OSSセキュリティ技術の会では、2019/12/13(金) 19:00-21:00に「OSSセキュリティ技術の会 第七回勉強会(副題:君がッ泣くまで入力をやめないッ! ~Linuxカーネルの高度な試験自動化技術と バグハンティングの巻~)」と題して、「syzkaller/syzbot」をテーマに勉強会を開催することになりました。

Linux カーネルのソースコードカバレッジを活用した高度な試験自動化技術について話していただきます。

プログラム内容と申し込みの詳細についてはこちら(connpass)を御確認下さい。

セミナー情報2

12/23(月) 19:00から21:00で、恵比寿のRed Hat様(会場)「RHEL好きの集い」コミュニティによるイベント「RHEL好きの集い Vol.2.1 」を開催致します。

今回は"〜RHEL8のライブカーネルパッチとUBIを深堀り〜"と題しまして、RHEL8.1から正式サポートになりましたkpatchと、UBIを深堀するイベントとなります。

プログラム内容と申し込みの詳細につきましては、こちら(connpass)を御確認下さい。


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

proftpdの複数の脆弱性情報(CVE-2019-19269, CVE-2019-19270, CVE-2019-19271, CVE-2019-19272)

次へ

GNU bashの脆弱性情報(CVE-2019-18276)