squidの脆弱性(Critical:CVE-2023-5824, CVE-2023-46846, CVE-2023-46847, High: CVE-2023-46724, CVE-2023-46848)

11/03/2023にsquidの脆弱性(Critical:CVE-2023-5824, CVE-2023-46846, CVE-2023-46847, High: CVE-2023-46724, CVE-2023-46848)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

• Squidの脆弱性情報(High/Important: CVE-2021-41611）と新しいバージョン(5.2)
• Squidの脆弱性情報(Moderate: CVE-2021-28116)

CVSS/プライオリティ

• CVE-2023-5824
  • 影響するバージョン
    • < 6.4
  • 一時情報源
    • SQUID-2023:2 Multiple issues in HTTP response caching
  • Priority
    • Vendor: 9.6 Critical
  • CVSS Score / CVSS Vector
    • Vendor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
• CVE-2023-46724
  • 影響するバージョン
    • 3.3.0.1-5.9, 6.0-6.3
  • 一時情報源
    • SQUID-2023:4 Denial of Service in SSL Certificate validation
  • Priority
    • Vendor: 8.6 High
  • CVSS Score / CVSS Vector
    • Vendor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
• CVE-2023-46846
  • 影響するバージョン
    • 2.6-6.3
  • 一時情報源
    • SQUID-2023:1 Request/Response smuggling in HTTP/1.1 and ICAP
  • Priority
    • Vendor: 9.3 Critical
  • CVSS Score / CVSS Vector
    • Vendor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N
• CVE-2023-46847
  • 影響するバージョン
    • 3.2.0.1-5.9, 6.0-6.3
  • 一時情報源
    • SQUID-2023:3 Denial of Service in HTTP Digest Authentication
  • Priority
    • Vendor: 9.9 Critical
  • CVSS Score / CVSS Vector
    • Vendor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:H
• CVE-2023-46848
  • 影響するバージョン
    • 5.0.3-5.9, 6.0-6.3
  • 一時情報源
    • SQUID-2023:5 Denial of Service in FTP
  • Priority
    • 8.6 High
  • CVSS Score / CVSS Vector
    • Vendor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5824
• • HTTPレスポンスの複数の脆弱性
  • 構造体の要素の不適切な処理により、HTTPおよびHTTPSクライアントの処理に対してDoSが発生する可能性があります。また、特定の要素のフィルタリングが不適切になっていたため、HTTPおよびHTTPS クライアントの処理に対してDoSが発生する可能性があります。
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46724
  • SSL証明書チェックでのDoSの可能性
  • 特定のIndexでの入力値チェックが不十分だったため、SSL証明書確認でDoSが発生する可能性があります。
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46846
  • HTTP/1.1、ICAPでのリクエスト・レスポンススマグリング脆弱性
  • チャンクデコーダーの実装に問題があり、SquidがHTTP/1.1及びICAPのメッセージを解析する際にリクエスト・レスポンススマグリング脆弱性が存在します。
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46847
  • HTTPダイジェスト認証でのDoSの可能性
  • HTTPダイジェスト認証でのバッファーオーバーフローのバグが見つかりました。これにより、HTTPダイジェスト認証でDoSが発生する可能性があります。
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46848
  • FTPでのDoSの可能性
  • 数値型変換のバグにより、FTPネイティブリレーの入力検証に対してDoSが発生する可能性があります。同様にftp://URL検証とアクセス制御に対してもDoSが発生する可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2023-5824
  • https://security-tracker.debian.org/tracker/CVE-2023-46724
  • https://security-tracker.debian.org/tracker/CVE-2023-46846
  • https://security-tracker.debian.org/tracker/CVE-2023-46847
  • https://security-tracker.debian.org/tracker/CVE-2023-46848
• Red Hat Enterprise Linux/CentOS
  • https://access.redhat.com/security/cve/CVE-2023-5824
  • https://access.redhat.com/security/cve/CVE-2023-46724
  • https://access.redhat.com/security/cve/CVE-2023-46846
  • https://access.redhat.com/security/cve/CVE-2023-46847
  • https://access.redhat.com/security/cve/CVE-2023-46848
• Ubuntu
  • https://ubuntu.com/security/CVE-2023-5824
  • https://ubuntu.com/security/CVE-2023-46724
  • https://ubuntu.com/security/CVE-2023-46846
  • https://ubuntu.com/security/CVE-2023-46847
  • https://ubuntu.com/security/CVE-2023-46848
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2023-5824.html
  • https://www.suse.com/security/cve/CVE-2023-46724.html
  • https://www.suse.com/security/cve/CVE-2023-46846.html
  • https://www.suse.com/security/cve/CVE-2023-46847.html
  • https://www.suse.com/security/cve/CVE-2023-46848.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• SQUID-2023:2 Multiple issues in HTTP response caching
• SQUID-2023:4 Denial of Service in SSL Certificate validation
• SQUID-2023:1 Request/Response smuggling in HTTP/1.1 and ICAP
• SQUID-2023:3 Denial of Service in HTTP Digest Authentication
• SQUID-2023:5 Denial of Service in FTP