Actualización de Squid para Red Hat Enterprise Linux

Red Hat ha publicado una actualización de Squid para diversas
versiones de su Enterprise Linux debido a que se han descubierto en
dicho componente diversas vulnerabilidades que pueden ser explotadas
para acceder a información sensible o provocar denegaciones de
servicio.

Las versiones actualizadas son Red Hat Desktop 3 y 4; Red Hat Enterprise
Linux AS 2.1, 3 y 4; Red Hat Enterprise Linux ES 2.1, 3 y 4; Red Hat
Enterprise Linux WS 3 y 4 y Red Hat Linux Advanced Workstation 2.1 para
Itanium.

* La primera vulnerabilidad se debe a un error a la hora de devolver
mensajes cuando se tratan nombres de host malformados. Esto puede
ser explotado en ciertas circunstancias para acceder a información
aleatoria.
* Otra se debe a un error sin especificar en la función
‘sslConnectTimeout()’ cuando trata peticiones maliciosas. Un atacante
podrá aprovecharlo para cesar la ejecución de Squid.
* El último de los problemas corregidos se debe a un error in especificar
en la función ‘storeBuffer()’ a la hora de tratar peticiones abortadas.
Esto también puede explotarse para tirar el servidor proxy.

La compañía recomienda actualizar los sistemas afectados desde Red Hat
Network:
http://rhn.redhat.com/

Más información:

Important: squid security update
http://rhn.redhat.com/errata/RHSA-2005-766.html

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog