Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).
Los dos problemas residen en denegaciones de servicio cuando squid trata respuestas http específicamente construidas. Uno de ellos debido a una comprobación inadecuada de límites y otro por un tratamiento inadecuado de errores en Squid-4.
Los problemas están solucionados en las versiones Squid 3.5.15 y 4.0.7, o se puede también aplicar los parches disponibles desde:
Squid 3.5:
La semana pasada se publico otra actualización, también para solucionar una vulnerabilidad de denegación de servicio. En este caso Squid confirma tienen conocimiento de que las vulnerabilidades se están aprovechando de forma activa, a través de ataques triviales.
Más información:
Squid Proxy Cache Security Update Advisory SQUID-2016:2
Multiple Denial of Service issues in HTTP Response processing
una-al-dia (20/02/2016) Denegación de servicio en Squid
Antonio Ropero
Twitter: @aropero
Deja una respuesta