プロキシサーバ「Squid」にサービス拒否の脆弱性

キャッシュプロキシサーバの「Squid」に複数の脆弱性が明らかとなった。11月初旬にリリースされたアップデートにて修正済みだという。

「HTTPメッセージ」の処理においてバッファオーバーリードの脆弱性「CVE-2023-49285」が明らかとなったもの。細工したメッセージによりサービス拒否を引き起こされるおそれがある。

また一部関数において戻り値のチェックが正しく行われないため、サービス拒否が生じる「CVE-2023-49286」が明らかとなった。

共通脆弱性評価システム「CVSSv3.1」のベーススコアはともに「8.6」。重要度は「高（High）」とレーティングされている。

これら脆弱性は、GitHubにおいて11月24日にCVE番号が割り当てられたが、脆弱性の修正パッチは10月にリリースされており、現地時間11月5日に公開された「同6.5」にて解消されている。

またサービス拒否の脆弱性「CVE-2023-49288」についても同じく11月24日にCVE番号が採番された。同脆弱性に関しては2月28日にリリースされた「同6.0.1」にて修正済みだという。

（Security NEXT - 2023/12/05 ） ツイート

PR

関連記事

中学PTA議決資料が閲覧可能に、クラウドで設定ミス - 奈良市
緑地管理者がボランティア宛てメールを「CC」送信 - 名古屋市
旧保育所に不法侵入、建物内部に個人情報 - 北見市
マイナンバー文書を誤廃棄、保存期限の設定ミスで - 上三川町
「VMware Tanzu for Valkey」の脆弱性を修正 - 「クリティカル」も
「PostgreSQL」にセキュリティアップデート - 「13系」は11月にEOL
米当局、「Trend Micro Apex One」に対する脆弱性攻撃に注意喚起
「Flowise」に深刻な脆弱性、パッチは未提供 - PoCが公開
チラシ案内先からイベント申込者情報が閲覧可能に - 佐賀のDC
不正アクセスでシステム障害、情報流出は調査中 - 三浦工業