Squidの脆弱性情報(High/Important: CVE-2021-41611)と新しいバージョン(5.2)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

10/08/2021にSquidの脆弱性情報(High/Important: CVE-2021-41611)と新しいバージョン(5.2)が公開されていました。少し遅くなりましたが、今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



[過去の関連リンク(最新5件)]

Squidの脆弱性情報(High: CVE-2021-28651, Moderate: CVE-2021-33620, CVE-2021-28662, CVE-2021-28652, CVE-2021-31806, CVE-2021-31807, CVE-2021-31808)と新バージョン(4.15/5.0.6)

Squidの脆弱性情報(Moderate: CVE-2021-28116)

Squidの脆弱性情報(CVE-2020-15810, CVE-2020-15811, CVE-2020-24606)と新バージョン(4.13/5.0.4)

Squidの複数の脆弱性情報(CVE-2020-14058, CVE-2020-14059, CVE-2020-15049)と新バージョン(4.12/5.0.3)

Squidの複数の脆弱性情報(CVE-2019-12519, CVE-2019-12521, CVE-2020-11945)と新バージョン(4.11/5.0.2)

Squidの複数の脆弱性情報(Important: CVE-2020-8450, CVE-2019-8517, Moderate: CVE-2019-12528, CVE-2020-8449)と新バージョン(4.10)

Squidの複数の脆弱性情報(Moderate: CVE-2019-12523, CVE-2019-12526, CVE-2019-18676, CVE-2019-18677, CVE-2019-18678, CVE-2019-18679)

一次情報源

Security Advisories


Priority

CVE番号 一次情報源 影響するバージョン Priority CVSS Score / CVSS Vector

CVE-2021-41611

SQUID-2021:6 Improper Certificate Validation of TLS server certificates

Squid 5.0.6-5.1

Vendor: 8.1 High

Vendor: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41611
    • TLSサーバ証明書に対する不適切な証明書確認
    • オリジンサーバやピアの証明書をチェックする際に、Squidは特定の証明書に関して信頼されていると誤って分類してしまう問題が見つかりました。

      この問題によりリモートサーバが信頼性をチェックされていないにもかかわらずセキュリティ的な信頼を得る事が可能になります。これによりクライアントが安全でなかったりハイジャックされたサービスにアクセスすることを許可してしまいます。

      この問題は複数のCAがTLSサーバ証明にサインしている際に発生する可能性があります。また、サーバの証明書チェインが壊れている際にも発生する可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


セキュリティ系連載案内

日々のメモを更新しています。

セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。

セミナー情報1

コンピュータセキュリティシンポジウム(CSS)2021併設のワークショップ、 OSSセキュリティ技術ワークショップ(OWS) 2021の企画講演セッション及び、 一般論文セッションをさせていただきます。

今年もオンラインでの開催となり、OWSトラックの一般論文セッションと企画セッションを行いますので,ご参加よろしくお願いいたします。

https://www.iwsec.org/ows/2021/


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

Apache Tomcatの脆弱性情報(Important: CVE-2021-42340 )

次へ

strongSwanの脆弱性情報(Moderate: CVE-2021-41990, CVE-2021-41991)