Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Actualización de seguridad para Squid

Actualización de seguridad para Squid

Por Deja un comentario

Acaba de hacerse pública la versión squid-2.4.STABLE7 que soluciona
varios problemas de seguridad en Squid y productos relacionados.
Squid es un servidor proxy ampliamente utilizado por sus amplias
posibilidades de configuración y su alto rendimiento. Ofrece soporte
para cacheo de FTP, gopher y HTTP.

Entre los cambios relacionados con la seguridad de esta nueva versión,
nos encontramos:

– Reparación y limpieza del cliente Gopher, que corrige algunas
vulnerabilidades y problemas al mostrar menús.

– Reparaciones en la forma en que se procesan los directorios FTP a
HTML. Se cree que tanto este problema como el anterior pueden ser
explotados remotamente y provocar la ejecución de código al visitar
un sitio especialmente creado.

– Nueva opción “ftp_sanitycheck” que chequea que los canales de datos
FTP coinciden correctamente con el servidor, para prevenir la
inyección de datos en la conexión.

– El ayudante de autenticación MSNT ha sido actualizado a la versión
2.0.3+fixes debido a que se han encontrado ciertos buffer overflows
bajo ciertos tipos de configuración.

– Reparado un problema debido a la forma en que Squid envía las
credenciales de autenticación proxy que bajo ciertas condiciones
puede llegar a enviar el conjunto usuario/clave a una web externa.

Otros cambios:

– Squid ahora rechaza correctamente cualquier petición que use la
cabecera “transfer-encoding”.

– Cambios menores para dar soporte adecuado a Apple MAC OS X y
plataformas relacionadas.

– Implementada la opción -T

– Reparados los problemas relacionados con HTCP en la reconfiguración
del servidor (“squid -k reconfigure”)

Es aconsejable actualizarse a la última versión en caso de que estemos
utilizando alguna anterior a la 2.4.STABLE6. La única forma de
comprobar adecuadamente esto es ejecutando el comando: squid -v

Si no es posible la actualización se hace necesario el establecimiento
de listas de acceso bastante restrictivas que no permitan el uso de
FTP o Gopher. Las introduciremos al principio del archivo squid.conf:

acl workaround proto FTP Gopher

http_access deny workaround

Francisco Javier Santos
fsantos@hispasec.com

Más información:

Página oficial de Squid:
http://www.squid-cache.org

Actualización de Squid:
http://www.squid-cache.org/Versions/v2/2.4/

Squid Proxy Cache Security Update Advisory:
http://www.squid-cache.org/Advisories/SQUID-2002_3.txt

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.