Acaba de hacerse pública la versión squid-2.4.STABLE7 que soluciona
varios problemas de seguridad en Squid y productos relacionados.
Squid es un servidor proxy ampliamente utilizado por sus amplias
posibilidades de configuración y su alto rendimiento. Ofrece soporte
para cacheo de FTP, gopher y HTTP.
Entre los cambios relacionados con la seguridad de esta nueva versión,
nos encontramos:
– Reparación y limpieza del cliente Gopher, que corrige algunas
vulnerabilidades y problemas al mostrar menús.
– Reparaciones en la forma en que se procesan los directorios FTP a
HTML. Se cree que tanto este problema como el anterior pueden ser
explotados remotamente y provocar la ejecución de código al visitar
un sitio especialmente creado.
– Nueva opción «ftp_sanitycheck» que chequea que los canales de datos
FTP coinciden correctamente con el servidor, para prevenir la
inyección de datos en la conexión.
– El ayudante de autenticación MSNT ha sido actualizado a la versión
2.0.3+fixes debido a que se han encontrado ciertos buffer overflows
bajo ciertos tipos de configuración.
– Reparado un problema debido a la forma en que Squid envía las
credenciales de autenticación proxy que bajo ciertas condiciones
puede llegar a enviar el conjunto usuario/clave a una web externa.
Otros cambios:
– Squid ahora rechaza correctamente cualquier petición que use la
cabecera «transfer-encoding».
– Cambios menores para dar soporte adecuado a Apple MAC OS X y
plataformas relacionadas.
– Implementada la opción -T
– Reparados los problemas relacionados con HTCP en la reconfiguración
del servidor («squid -k reconfigure»)
Es aconsejable actualizarse a la última versión en caso de que estemos
utilizando alguna anterior a la 2.4.STABLE6. La única forma de
comprobar adecuadamente esto es ejecutando el comando: squid -v
Si no es posible la actualización se hace necesario el establecimiento
de listas de acceso bastante restrictivas que no permitan el uso de
FTP o Gopher. Las introduciremos al principio del archivo squid.conf:
acl workaround proto FTP Gopher
http_access deny workaround
fsantos@hispasec.com
Más información:
Página oficial de Squid:
http://www.squid-cache.org
Actualización de Squid:
http://www.squid-cache.org/Versions/v2/2.4/
Squid Proxy Cache Security Update Advisory:
http://www.squid-cache.org/Advisories/SQUID-2002_3.txt
Deja una respuesta