Icono del sitio Una Al Día

Actualización de seguridad para Squid

Hispasec

Acaba de hacerse pública la versión squid-2.4.STABLE7 que soluciona
varios problemas de seguridad en Squid y productos relacionados.
Squid es un servidor proxy ampliamente utilizado por sus amplias
posibilidades de configuración y su alto rendimiento. Ofrece soporte
para cacheo de FTP, gopher y HTTP.

Entre los cambios relacionados con la seguridad de esta nueva versión,
nos encontramos:

– Reparación y limpieza del cliente Gopher, que corrige algunas
vulnerabilidades y problemas al mostrar menús.

– Reparaciones en la forma en que se procesan los directorios FTP a
HTML. Se cree que tanto este problema como el anterior pueden ser
explotados remotamente y provocar la ejecución de código al visitar
un sitio especialmente creado.

– Nueva opción «ftp_sanitycheck» que chequea que los canales de datos
FTP coinciden correctamente con el servidor, para prevenir la
inyección de datos en la conexión.

– El ayudante de autenticación MSNT ha sido actualizado a la versión
2.0.3+fixes debido a que se han encontrado ciertos buffer overflows
bajo ciertos tipos de configuración.

– Reparado un problema debido a la forma en que Squid envía las
credenciales de autenticación proxy que bajo ciertas condiciones
puede llegar a enviar el conjunto usuario/clave a una web externa.

Otros cambios:

– Squid ahora rechaza correctamente cualquier petición que use la
cabecera «transfer-encoding».

– Cambios menores para dar soporte adecuado a Apple MAC OS X y
plataformas relacionadas.

– Implementada la opción -T

– Reparados los problemas relacionados con HTCP en la reconfiguración
del servidor («squid -k reconfigure»)

Es aconsejable actualizarse a la última versión en caso de que estemos
utilizando alguna anterior a la 2.4.STABLE6. La única forma de
comprobar adecuadamente esto es ejecutando el comando: squid -v

Si no es posible la actualización se hace necesario el establecimiento
de listas de acceso bastante restrictivas que no permitan el uso de
FTP o Gopher. Las introduciremos al principio del archivo squid.conf:

acl workaround proto FTP Gopher

http_access deny workaround

Francisco Javier Santos
fsantos@hispasec.com

Más información:

Página oficial de Squid:
http://www.squid-cache.org

Actualización de Squid:
http://www.squid-cache.org/Versions/v2/2.4/

Squid Proxy Cache Security Update Advisory:
http://www.squid-cache.org/Advisories/SQUID-2002_3.txt

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

Salir de la versión móvil