Vigil@nce - Squid : déni de service via Range
septembre 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer une requête Range illicite vers Squid,
afin de mener un déni de service.
Produits concernés : Debian, Fedora, MBS, RHEL, Squid, Ubuntu
Gravité : 2/4
Date création : 28/08/2014
DESCRIPTION DE LA VULNÉRABILITÉ
L’entête HTTP Range indique l’intervalle des données à
télécharger. Par exemple :
Range : bytes=10-999
Cependant, Squid ne vérifie pas si la valeur indiquée est un
entier, ce qui provoque une erreur fatale.
Un attaquant peut donc envoyer une requête Range illicite vers
Squid, afin de mener un déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Squid-deni-de-service-via-Range-15239