Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Actualización de seguridad para Squid

Actualización de seguridad para Squid

Por Deja un comentario

Acaba de hacerse pública la versión squid-2.4.STABLE7 que soluciona
varios problemas de seguridad en Squid y productos relacionados.
Squid es un servidor proxy ampliamente utilizado por sus amplias
posibilidades de configuración y su alto rendimiento. Ofrece soporte
para cacheo de FTP, gopher y HTTP.

Entre los cambios relacionados con la seguridad de esta nueva versión,
nos encontramos:

– Reparación y limpieza del cliente Gopher, que corrige algunas
vulnerabilidades y problemas al mostrar menús.

– Reparaciones en la forma en que se procesan los directorios FTP a
HTML. Se cree que tanto este problema como el anterior pueden ser
explotados remotamente y provocar la ejecución de código al visitar
un sitio especialmente creado.

– Nueva opción «ftp_sanitycheck» que chequea que los canales de datos
FTP coinciden correctamente con el servidor, para prevenir la
inyección de datos en la conexión.

– El ayudante de autenticación MSNT ha sido actualizado a la versión
2.0.3+fixes debido a que se han encontrado ciertos buffer overflows
bajo ciertos tipos de configuración.

– Reparado un problema debido a la forma en que Squid envía las
credenciales de autenticación proxy que bajo ciertas condiciones
puede llegar a enviar el conjunto usuario/clave a una web externa.

Otros cambios:

– Squid ahora rechaza correctamente cualquier petición que use la
cabecera «transfer-encoding».

– Cambios menores para dar soporte adecuado a Apple MAC OS X y
plataformas relacionadas.

– Implementada la opción -T

– Reparados los problemas relacionados con HTCP en la reconfiguración
del servidor («squid -k reconfigure»)

Es aconsejable actualizarse a la última versión en caso de que estemos
utilizando alguna anterior a la 2.4.STABLE6. La única forma de
comprobar adecuadamente esto es ejecutando el comando: squid -v

Si no es posible la actualización se hace necesario el establecimiento
de listas de acceso bastante restrictivas que no permitan el uso de
FTP o Gopher. Las introduciremos al principio del archivo squid.conf:

acl workaround proto FTP Gopher

http_access deny workaround

Francisco Javier Santos
fsantos@hispasec.com

Más información:

Página oficial de Squid:
http://www.squid-cache.org

Actualización de Squid:
http://www.squid-cache.org/Versions/v2/2.4/

Squid Proxy Cache Security Update Advisory:
http://www.squid-cache.org/Advisories/SQUID-2002_3.txt

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.