miércoles, 28 de diciembre de 2016

Solucionadas dos vulnerabilidades en Squid

Se han solucionado dos vulnerabilidades en SQUID versiones 3x y 4.x que podrían permitir a atacantes remotos conseguir información sensible del sistema atacado.

Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).

El primer problema, con CVE-2016-10003, se debe a una comparación incorrecta de las cabeceras de las peticiones, Squid puede devolver respuestas que contengan datos privados a clientes a los que no debería llegar. Por otra parte, con CVE-2016-10002, otra vulnerabilidad debida a la manipulación incorrecta de petición condicional HTTP, de forma similar Squid puede devolver respuestas que contengan datos privados a clientes.

Ambos problemas afectan a versiones Squid 3.5 a 3.5.22 y Squid 4.0 a 4.0.16. Los problemas están solucionados en las versiones Squid 3.5.23 y 4.0.17, o se puede también aplicar los parches disponibles desde las alertas publicadas.

Más información:

Squid Proxy Cache Security Update Advisory SQUID-2016:10
Information disclosure in Collapsed Forwarding

Squid Proxy Cache Security Update Advisory SQUID-2016:11
Information disclosure in HTTP Request processing


Antonio Ropero
Twitter: @aropero