varios problemas de seguridad en Squid y productos relacionados.
Squid es un servidor proxy ampliamente utilizado por sus amplias
posibilidades de configuración y su alto rendimiento. Ofrece soporte
para cacheo de FTP, gopher y HTTP.
Entre los cambios relacionados con la seguridad de esta nueva versión,
nos encontramos:
- Reparación y limpieza del cliente Gopher, que corrige algunas
vulnerabilidades y problemas al mostrar menús.
- Reparaciones en la forma en que se procesan los directorios FTP a
HTML. Se cree que tanto este problema como el anterior pueden ser
explotados remotamente y provocar la ejecución de código al visitar
un sitio especialmente creado.
- Nueva opción "ftp_sanitycheck" que chequea que los canales de datos
FTP coinciden correctamente con el servidor, para prevenir la
inyección de datos en la conexión.
- El ayudante de autenticación MSNT ha sido actualizado a la versión
2.0.3+fixes debido a que se han encontrado ciertos buffer overflows
bajo ciertos tipos de configuración.
- Reparado un problema debido a la forma en que Squid envía las
credenciales de autenticación proxy que bajo ciertas condiciones
puede llegar a enviar el conjunto usuario/clave a una web externa.
Otros cambios:
- Squid ahora rechaza correctamente cualquier petición que use la
cabecera "transfer-encoding".
- Cambios menores para dar soporte adecuado a Apple MAC OS X y
plataformas relacionadas.
- Implementada la opción -T
- Reparados los problemas relacionados con HTCP en la reconfiguración
del servidor ("squid -k reconfigure")
Es aconsejable actualizarse a la última versión en caso de que estemos
utilizando alguna anterior a la 2.4.STABLE6. La única forma de
comprobar adecuadamente esto es ejecutando el comando: squid -v
Si no es posible la actualización se hace necesario el establecimiento
de listas de acceso bastante restrictivas que no permitan el uso de
FTP o Gopher. Las introduciremos al principio del archivo squid.conf:
acl workaround proto FTP Gopher
http_access deny workaround
Francisco Javier Santos
fsantos@hispasec.com
fsantos@hispasec.com
Más información:
Página oficial de Squid:
http://www.squid-cache.org
Actualización de Squid:
http://www.squid-cache.org/Versions/v2/2.4/
Squid Proxy Cache Security Update Advisory:
http://www.squid-cache.org/Advisories/SQUID-2002_3.txt
No hay comentarios:
Publicar un comentario