lunes, 15 de julio de 2013

Denegación de servicio en Squid

Se ha solucionado una vulnerabilidad de denegación de servicio en la validación de datos de entrada en el control de las cabeceras HTTP de SQUID 3.2.x (hasta 3.2.12) y 3.3.x (hasta 3.3.7).

Logo Squid-cache
Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).

El problema reside en el tratamiento de peticiones http que contengan valores de número de puerto manipulados en la cabecera "Host". Un atacante remoto podría aprovechar este problema para provocar condiciones de denegación de servicio a través del envió de cabeceras HTTP especialmente tratadas.

Los problemas están solucionados en las versiones Squid 3.2.13 y 3.3.8, o se puede también aplicar los parches disponibles desde:
Squid 3.2:
Squid 3.3:

Más información:

Squid Proxy Cache Security Update Advisory SQUID-2013:3


Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada