Denegación de servicio en la rama 3 de Squid
30 07 2009
Se han solucionado varios errores de comprobación de límites y validación de datos de entrada en el control de las cabeceras HTTP de SQUID 3.x. Las vulnerabilidades podrían ser aprovechadas por un atacante remoto para causar una denegación de servicio a través del envió de cabeceras HTTP especialmente manipuladas.
Squid es uno de los más populares servidores proxys usados en la actualidad, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).
Squid permite autenticación mediante varios protocolos estándar como LDAP, Kerberos, Radius, … además del control de trafico, puede filtrar tráfico en streaming o chats como Skype, MsnMessenger, YahooMessenger. Permite registrar exhaustivamente las transmisiones y soporta cifrado en TLS, SSL y HTTS entre otras utilidades. Además es compatible con IPv6.
Los problemas están solucionados en las versiones 3.0.STABLE17 y 3.1.0.12, o se puede también aplicar los parches disponibles desde:
La rama 2.x no se ve afectada por el problema.
Vía: http://www.hispasec.com/unaaldia/3930/
Más info aquí:
