martes, 28 de julio de 2009

Denegación de servicio en la rama 3 de Squid

Se han solucionado varios errores de comprobación de límites y validación de datos de entrada en el control de las cabeceras HTTP de SQUID 3.x. Las vulnerabilidades podrían ser aprovechadas por un atacante remoto para causar una denegación de servicio a través del envió de cabeceras HTTP especialmente manipuladas.

Squid es uno de los más populares servidores proxys usados en la actualidad, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).

Squid permite autenticación mediante varios protocolos estándar como LDAP, Kerberos, Radius, ... además del control de trafico, puede filtrar tráfico en streaming o chats como Skype, MsnMessenger, YahooMessenger. Permite registrar exhaustivamente las transmisiones y soporta cifrado en TLS, SSL y HTTS entre otras utilidades. Además es compatible con IPv6.

Los problemas están solucionados en las versiones 3.0.STABLE17 y 3.1.0.12, o se puede también aplicar los parches disponibles desde:

Squid 3.0:
http://www.squid-cache.org/Versions/v3/3.0/changesets/b9070.patch
http://www.squid-cache.org/Versions/v3/3.0/changesets/b9074.patch
http://www.squid-cache.org/Versions/v3/3.0/changesets/b9075.patch

Squid 3.1:
http://www.squid-cache.org/Versions/v3/3.1/changesets/b9654.patch
http://www.squid-cache.org/Versions/v3/3.1/changesets/b9661.patch

La rama 2.x no se ve afectada por el problema.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Squid Proxy Cache Security Update Advisory SQUID-2009:2
http://www.squid-cache.org/Advisories/SQUID-2009_2.txt

No hay comentarios:

Publicar un comentario en la entrada