Squidの脆弱性情報(High: CVE-2021-28651, Moderate: CVE-2021-33620, CVE-2021-28662, CVE-2021-28652, CVE-2021-31806, CVE-2021-31807, CVE-2021-31808)と新バージョン(4.15/5.0.6)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面和毅です。

05/10/2021にSquidの脆弱性情報(High: CVE-2021-28651, Moderate: CVE-2021-33620, CVE-2021-28662, CVE-2021-28652, CVE-2021-31806, CVE-2021-31807, CVE-2021-31808)と新しいバージョン(4.15/5.0.6)が公開されていました。少し遅くなりましたが、今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

[過去の関連リンク(最新5件)]

Squidの脆弱性情報(Moderate: CVE-2021-28116)

Squidの脆弱性情報(CVE-2020-15810, CVE-2020-15811, CVE-2020-24606)と新バージョン(4.13/5.0.4)

Squidの複数の脆弱性情報(CVE-2020-14058, CVE-2020-14059, CVE-2020-15049)と新バージョン(4.12/5.0.3)

Squidの複数の脆弱性情報(CVE-2019-12519, CVE-2019-12521, CVE-2020-11945)と新バージョン(4.11/5.0.2)

Squidの複数の脆弱性情報(Important: CVE-2020-8450, CVE-2019-8517, Moderate: CVE-2019-12528, CVE-2020-8449)と新バージョン(4.10)

Squidの複数の脆弱性情報(Moderate: CVE-2019-12523, CVE-2019-12526, CVE-2019-18676, CVE-2019-18677, CVE-2019-18678, CVE-2019-18679)

一次情報源

Security Advisories

Priority

CVE番号	一次情報源	影響するバージョン	Priority	CVSS Score / CVSS Vector
CVE-2021-28662	SQUID-2021:2 Denial of Service in HTTP Response Processing	Squid 4.0.1-4.14, 5.0.1-5.0.5	Vendor: 6.5 Moderate	Vendor: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
CVE-2021-28651	SQUID-2021:1 Denial of Service in URN processing	Squid 2.0-4.14, 5.0.1-5.0.5	Vendor: 7.4 High	Vendor: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:H
CVE-2021-33620	SQUID-2021:5 Denial of Service in HTTP Response processing	Squid < 4.15, 5.0-5.0.5	Vendor: 6.5 Moderate	Vendor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVE-2021-28652	SQUID-2021:3 Denial of Service issue in Cache Manager	Squid 1.0-4.14, 5.0-5.0.5	Vendor: 6.8 Moderate	Vendor: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H
CVE-2021-31806 CVE-2021-31807 CVE-2021-31808	SQUID-2021:4 Multiple Issues in HTTP Range header	Squid 2.5.STABLE2-2.7.STABLE9, 3.0-4.1.4, 5.0.1-5.0.5	Vendor: 6.5 Moderate	Vendor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28651
- URN処理中のDoSの可能性
- Squidにバッファー管理の問題が見つかりました。これにより、Serverに対してDoSを引き起こすことができる可能性があります。この攻撃は”urn:”がリソース識別子に用いられているものを処理しようとする時に発生します。このオプションはSquidのデフォルトで有効になっています。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33620
- HTTPレスポンス処理中のDoSの可能性
- Squidに入力値検証の問題が見つかりました。これにより、プロキシを使用しているすべてのクライアントに対してDoSを行うことができる可能性があります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28662
- HTTPレスポンス処理中のDoSの可能性
- Squidに入力値検証の問題が見つかりました。これにより、プロキシを使用しているすべてのクライアントに対してDoSを行うことができる可能性があります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28652
- Cache ManagerのDoSの可能性
- Squidにパーサ検証の問題が見つかりました。これにより、Cache Manager APIに対してDoSを行うことができる可能性があります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31806
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31807
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31808
- HTTP Rangeヘッダーでの複数の問題
- Squidに入力値検証の問題が見つかりました。これにより、プロキシを使用しているすべてのクライアントに対してDoSを行うことができる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

Security Advisories

セキュリティ系連載案内

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。
OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter（BPF）入門」が連載されています。

CM

こちらで小学生の勉強支援サイトをオープンしました。算数のプリント（都度、自動生成）が無料でダウンロードできます。コンテンツは未だ少ないですが、徐々に増やしていきます。