Squidの脆弱性情報(High: CVE-2021-28651, Moderate: CVE-2021-33620, CVE-2021-28662, CVE-2021-28652, CVE-2021-31806, CVE-2021-31807, CVE-2021-31808)と新バージョン(4.15/5.0.6)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

05/10/2021にSquidの脆弱性情報(High: CVE-2021-28651, Moderate: CVE-2021-33620, CVE-2021-28662, CVE-2021-28652, CVE-2021-31806, CVE-2021-31807, CVE-2021-31808)と新しいバージョン(4.15/5.0.6)が公開されていました。少し遅くなりましたが、今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。




一次情報源

Security Advisories


Priority

CVE番号 一次情報源 影響するバージョン Priority CVSS Score / CVSS Vector

CVE-2021-28662

SQUID-2021:2 Denial of Service in HTTP Response Processing

Squid 4.0.1-4.14, 5.0.1-5.0.5

Vendor: 6.5 Moderate

Vendor: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-28651

SQUID-2021:1 Denial of Service in URN processing

Squid 2.0-4.14, 5.0.1-5.0.5

Vendor: 7.4 High

Vendor: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:H

CVE-2021-33620

SQUID-2021:5 Denial of Service in HTTP Response processing

Squid < 4.15, 5.0-5.0.5

Vendor: 6.5 Moderate

Vendor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-28652

SQUID-2021:3 Denial of Service issue in Cache Manager

Squid 1.0-4.14, 5.0-5.0.5

Vendor: 6.8 Moderate

Vendor: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H

CVE-2021-31806

CVE-2021-31807

CVE-2021-31808

SQUID-2021:4 Multiple Issues in HTTP Range header

Squid 2.5.STABLE2-2.7.STABLE9, 3.0-4.1.4, 5.0.1-5.0.5

Vendor: 6.5 Moderate

Vendor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H


修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


セキュリティ系連載案内

CM

こちらで小学生の勉強支援サイトをオープンしました。算数のプリント(都度、自動生成)が無料でダウンロードできます。コンテンツは未だ少ないですが、徐々に増やしていきます。


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

Linux Kernelの脆弱性(Important: CVE-2021-33200)

次へ

Linux Kernelの脆弱性(Moderate: CVE-2021-22543)