sábado, 20 de febrero de 2016

Denegación de servicio en Squid

Se ha solucionado una vulnerabilidad de denegación de servicio en SQUID versiones 3.5.13 y 4.0.4 a 4.0.5.

Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).

El problema, con CVE-2016-2390, reside en un tratamiento incorrecto de los errores de servidor, lo que permitir condiciones de denegación de servicio cuando Squid se conecta a servidores TLS o SSL.

Los problemas están solucionados en las versiones Squid 3.5.14 y 4.0.6, o se puede también aplicar los parches disponibles desde:
Squid 3.5:
http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13981.patch

Más información:

Squid Proxy Cache Security Update Advisory SQUID-2016:1
Remote Denial of service issue in SSL/TLS processing
http://www.squid-cache.org/Advisories/SQUID-2016_1.txt


                                                                                                  
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017