CVSS: 5.9EPSS: 71%CPEs: 3EXPL: 0CVE-2016-2390
https://notcve.org/view.php?id=CVE-2016-2390
The FwdState::connectedToPeer method in FwdState.cc in Squid before 3.5.14 and 4.0.x before 4.0.6 does not properly handle SSL handshake errors when built with the --with-openssl option, which allows remote attackers to cause a denial of service (application crash) via a plaintext HTTP message. El método FwdState::connectedToPeer en FwdState.cc en Squid en versiones anteriores a 3.5.14 y 4.0.x en versiones anteriores a 4.0.6 no maneja correctamente los errores de apretones de manos SSL cuando se construye con la opción --with-openssl, lo que permite a atacantes remotos causar una denegación de servicio (caída de aplicación) a través de un mensaje HTTP en texto plano. • http://bugs.squid-cache.org/show_bug.cgi?id=4437 http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00040.html http://lists.squid-cache.org/pipermail/squid-announce/2016-February/000037.html http://lists.squid-cache.org/pipermail/squid-announce/2016-February/000038.html http://www.securitytracker.com/id/1035045 http://www.squid-cache.org/Advisories/SQUID-2016_1.txt • CWE-20: Improper Input Validation •
CVSS: 8.2EPSS: 1%CPEs: 12EXPL: 0CVE-2016-3947
https://notcve.org/view.php?id=CVE-2016-3947
Heap-based buffer overflow in the Icmp6::Recv function in icmp/Icmp6.cc in the pinger utility in Squid before 3.5.16 and 4.x before 4.0.8 allows remote servers to cause a denial of service (performance degradation or transition failures) or write sensitive information to log files via an ICMPv6 packet. Desbordamiento de buffer basado en memoria dinámica en la función Icmp6::Recv en icmp/Icmp6.cc en la utilidad pinger en Squid en versiones anteriores a 3.5.16 y 4.x en versiones anteriores a 4.0.8 permite a servidores remotos provocar una denegación de servicio (degradación de rendimiento o fallos de transición) o escribir información sensible en archivos de registro a través de un paquete ICMPv6. • http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00040.html http://lists.opensuse.org/opensuse-updates/2016-08/msg00069.html http://www.securitytracker.com/id/1035457 http://www.squid-cache.org/Advisories/SQUID-2016_3.txt http://www.squid-cache.org/Versions/v3/3.1/changesets/squid-3.1-10495.patch http://www.squid-cache.org/Versions/v3/3.2/changesets/squid-3.2-11839.patch http://www.sq • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 6.8EPSS: 0%CPEs: 4EXPL: 4CVE-2015-5400
https://notcve.org/view.php?id=CVE-2015-5400
Squid before 3.5.6 does not properly handle CONNECT method peer responses when configured with cache_peer, which allows remote attackers to bypass intended restrictions and gain access to a backend proxy via a CONNECT request. Vulnerabilidad en Squid en versiones anteriores a 3.5.6, no maneja adecuadamente las respuestas de pares del método CONNECT cuando se configura con cache_peer, lo que permite a atacantes remotos eludir las restricciones previstas y obtener acceso a un proxy backend a través de una solicitud CONNECT. • http://lists.fedoraproject.org/pipermail/package-announce/2016-May/183598.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00040.html http://lists.opensuse.org/opensuse-updates/2016-08/msg00069.html http://www.debian.org/security/2015/dsa-3327 http://www.openwall.com/lists/oss-security/2015/07/06/8 http://www.openwall.com/lists/oss-security/2015/07/09/12 http://www.openwall.com/lists&# • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2015-0881
https://notcve.org/view.php?id=CVE-2015-0881
CRLF injection vulnerability in Squid before 3.1.1 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via a crafted header in a response. Una vulnerabilidad de inyección CRLF en Squid anterior a versión 3.1.1, permite a los atacantes remotos inyectar encabezados HTTP arbitrarios y conducir ataques de división de respuesta HTTP por medio de un encabezado diseñado en una respuesta. • http://jvn.jp/en/jp/JVN64455813/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2015-000019 •
CVSS: 6.8EPSS: 9%CPEs: 181EXPL: 0CVE-2014-6270
https://notcve.org/view.php?id=CVE-2014-6270
Off-by-one error in the snmpHandleUdp function in snmp_core.cc in Squid 2.x and 3.x, when an SNMP port is configured, allows remote attackers to cause a denial of service (crash) or possibly execute arbitrary code via a crafted UDP SNMP request, which triggers a heap-based buffer overflow. Error de superación de límite (off-by-one) en la función snmpHandleUdp en snmp_core.cc en Squid 2.x y 3.x, cuando un puerto SNMP está configurado, permite a atacantes remotos causar una denegación de servicio (caída) o posiblemente ejecutar código arbitrario a través de una solicitud UDP SNMP manipulada, lo que provoca un desbordamiento de buffer basado en memoria dinámica. • http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00040.html http://seclists.org/oss-sec/2014/q3/542 http://seclists.org/oss-sec/2014/q3/550 http://www.oracle.com/technetwork/topics/security/bulletinjul2015-2511963.html http://www.securityfocus.com/bid/69686 http://www.ubuntu.com/usn/USN-2921-1 https://bugzilla.novell.com/show_bug.cgi?id=895773 https://bugzilla.redhat.com/show_bug.cgi&# • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •