-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### ######################## UPDATE 1.01 ############################# Titel : Kwetsbaarheden verholpen in Squid Advisory ID : NCSC-2021-0863 Versie : 1.01 Kans : medium CVE ID : CVE-2021-28116, CVE-2021-41611 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high Denial-of-Service (DoS) Toegang tot gevoelige gegevens Uitgiftedatum : 20211012 Toepassing : Squid Versie(s) : < 5.2 Platform(s) : Ubuntu SUSE Linux Enterprise Update SUSE heeft updates beschikbaar gesteld om de kwetsbaarheid met kenmerk CVE-2021-28116 te verhelpen in SUSE 12. Zie "Mogelijke oplossingen" voor meer informatie. Beschrijving Er zijn twee kwetsbaarheden verholpen in Squid. De kwetsbaarheden stellen een kwaadwillende op afstand mogelijk in staat om een Denial-of-Service (DoS) te veroorzaken of toegang te krijgen tot gevoelige gegevens. De kwetsbaarheid met kenmerk CVE-2021-28116 bevindt zich in de manier waarop Squid WCCPv2-verkeer afhandelt. De ontwikkelaars van Squid geven aan dat een standaardconfiguratie, waarop WCCPv2 niet is geconfigureerd, niet kwetsbaar is. Mogelijke oplossingen De ontwikkelaars van Squid hebben updates uitgebracht om de kwetsbaarheden te verhelpen in versie 5.2. Voor meer informatie, zie: CVE-2021-28116: https://github.com/squid-cache/squid/security/advisories /GHSA-rgf3-9v3p-qp82 CVE-2021-41611: https://github.com/squid-cache/squid/security/advisories /GHSA-47m4-g3mv-9q5r -= SUSE =- SUSE heeft updates beschikbaar gesteld om de kwetsbaarheid met kenmerk CVE-2021-28116 te verhelpen in SUSE 12. U kunt deze aangepaste packages installeren door gebruik te maken van 'YaST'. U kunt de packages ook handmatig downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer informatie, zie: https://lists.suse.com/pipermail/sle-security-updates/2021-October /009559.html -= Ubuntu =- Canonical heeft updates beschikbaar gesteld voor Ubuntu 18.04 LTS, 20.04 LTS en 21.04 om de kwetsbaarheid met kenmerk CVE-2021-28116 te verhelpen. U kunt de aangepaste packages installeren door gebruik te maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande pagina: https://ubuntu.com/security/notices/USN-5104-1 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYWVPJOEs56R4sCd0AQqsWQv/fTejNbeFrnaXZzeE0+df+PyFv7v6OeJa YE8XyIY0VpQX3LEMBne6O7V4PqyywPhGzVLjISn++tkOeA0XTsw+SifnqNzIg59F Ovc68mGbhQ+qppFA6Drt6g96W4EWDLmTcJTLG0eyQQLLSiX2M3fAyf9Ua0n8XDbJ XCVVNlOgz+yTJjw5dUOOe0wuJoxuAttRGmcgev4OXlffkxBz2R5YJgGk2wa7TCOa CzpBy+hjL7PAUb6nJpeFOo5QUmj2I3iLG5Y16Q0UK8iNVTVlyh/Dv6Vyae+oVzy4 wtAOPDJqfRO1YwxuBtoIQASVzuBZ236UGjUzProeYZ0b5ECasbSmvkoCFdfkje6L WLptl4hbe0lkEXqppR7LlMz+5uusmFc2pjIz5uAcSQlpg3ujRcnf9kxf+tN4TkkX MNky7qV3DnufXxUWKxB/4jb03SLVFqAC+lrVEFic7sboAI48lJLQphE8rqs2fHS2 XOxnyPiA4iZSFiLctpr2eNUqpU65NB10 =KxZb -----END PGP SIGNATURE-----