viernes, 26 de febrero de 2016

Denegaciones de servicio en Squid

Se han solucionado dos vulnerabilidades de denegación de servicio en SQUID versiones 3x y 4.x.

Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).

Los dos problemas residen en denegaciones de servicio cuando squid trata respuestas http específicamente construidas. Uno de ellos debido a una comprobación inadecuada de límites y otro por un tratamiento inadecuado de errores en Squid-4.

Los problemas están solucionados en las versiones Squid 3.5.15 y 4.0.7, o se puede también aplicar los parches disponibles desde:
Squid 3.5:

La semana pasada se publico otra actualización, también para solucionar una vulnerabilidad de denegación de servicio. En este caso Squid confirma tienen conocimiento de que las vulnerabilidades se están aprovechando de forma activa, a través de ataques triviales.

Más información:

Squid Proxy Cache Security Update Advisory SQUID-2016:2
Multiple Denial of Service issues in HTTP Response processing

una-al-dia (20/02/2016) Denegación de servicio en Squid


                                                                                                  
Antonio Ropero
Twitter: @aropero



No hay comentarios:

Publicar un comentario en la entrada