NVD Vulnerability Detail

CVE-2009-2855

Summary	The strListGetItem function in src/HttpHeaderTools.c in Squid 2.7 allows remote attackers to cause a denial of service via a crafted auth header with certain comma delimiters that trigger an infinite loop of calls to the strcspn function.
Publication Date	Aug. 19, 2009, 6 a.m.
Registration Date	Jan. 29, 2021, 1:21 p.m.
Last Update	Nov. 7, 2023, 11:04 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:squid-cache:squid:2.7:stable3::::::
cpe:2.3:a:squid-cache:squid:2.7:stable4::::::
cpe:2.3:a:squid-cache:squid:2.7:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://www.squid-cache.org/bugs/show_bug.cgi?id=2704	MISC	Vendor Advisory
2	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=534982	CONFIRM
3	http://www.openwall.com/lists/oss-security/2009/07/20/10	MLIST
4	http://www.openwall.com/lists/oss-security/2009/08/04/6	MLIST
5	http://www.openwall.com/lists/oss-security/2009/08/03/3	MLIST
6	http://www.squid-cache.org/bugs/show_bug.cgi?id=2541	CONFIRM
7	http://www.securityfocus.com/bid/36091	BID
8	https://bugzilla.redhat.com/show_bug.cgi?id=518182	CONFIRM
9	http://www.securitytracker.com/id?1022757	SECTRACK
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/52610	XF
11	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10592	OVAL
12	http://bugs.debian.org/cgi-bin/bugreport.cgi?msg=31%3Bfilename=diff%3Batt=1%3Bbug=534982

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

JVN Vulnerability Information

Squid の strListGetItem 関数におけるサービス運用妨害 (DoS) の脆弱性

Title	Squid の strListGetItem 関数におけるサービス運用妨害 (DoS) の脆弱性
Summary	Squid の strListGetItem 関数には、認証ヘッダの処理に不備があるため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。
Possible impacts	巧妙に細工された認証ヘッダにより、サービス運用妨害 (DoS) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Aug. 18, 2009, midnight
Registration Date	Nov. 10, 2009, 1:04 p.m.
Last Update	April 27, 2010, 3:19 p.m.

Affected System

レッドハット

Red Hat Enterprise Linux 5 (server)

RHEL Desktop Workstation 5 (client)

Squid-cache.org

Squid 2.7

ターボリナックス

Turbolinux Appliance Server 2.0

Turbolinux Appliance Server 3.0

Turbolinux Appliance Server 3.0 (x64)

Turbolinux Server 10

Turbolinux Server 10 (x64)

Turbolinux Server 11

Turbolinux Server 11 (x64)

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2855	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2855
National Vulnerability Database (NVD)
2	CVE-2009-2855	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2855

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
Asianux Technical Support Network
1	squid-2.6.STABLE21-6.AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=1019
Red Hat Security Advisory
2	RHSA-2010:0221	https://rhn.redhat.com/errata/RHSA-2010-0221.html
Squid Bugzilla
3	Bug 2704	http://bugs.squid-cache.org/show_bug.cgi?id=2704
Turbolinux Security Advisory
4	TLSA-2009-27	http://www.turbolinux.com/security/2009/TLSA-2009-27.txt
製品セキュリティ情報
5	TLSA-2009-27	http://www.turbolinux.co.jp/security/2009/TLSA-2009-27j.txt

その他

No	Name	URL
ISS X-Force Database
1	52610	http://xforce.iss.net/xforce/xfdb/52610
SecurityFocus
2	36091	http://www.securityfocus.com/bid/36091
SecurityTracker
3	1022757	http://www.securitytracker.com/id?1022757
VUPEN Security
4	VUPEN/ADV-2009-2328	http://www.vupen.com/english/advisories/2009/2328

Change Log

No	Changed Details	Date of change
0	[2009年11月10日] 掲載 [2010年04月27日] 影響を受けるシステム：ミラクル・リナックス (squid-2.6.STABLE21-6.AXS3) の情報を追加影響を受けるシステム：レッドハット (RHSA-2010:0221) の情報を追加ベンダ情報：ミラクル・リナックス (squid-2.6.STABLE21-6.AXS3) を追加ベンダ情報：レッドハット (RHSA-2010:0221) を追加	Feb. 17, 2018, 10:37 a.m.