Se
han solucionado dos vulnerabilidades en SQUID versiones 3x y 4.x que podrían
permitir a atacantes remotos conseguir información sensible del sistema atacado.
Squid es uno de los servidores
proxys más populares, en gran parte por ser de código abierto y multiplataforma
(aunque sus comienzos fueron para sistemas Unix).
El primer problema, con
CVE-2016-10003, se debe a una comparación incorrecta de las cabeceras de las
peticiones, Squid puede devolver respuestas que contengan datos privados a
clientes a los que no debería llegar. Por otra parte, con CVE-2016-10002, otra
vulnerabilidad debida a la manipulación incorrecta de petición condicional
HTTP, de forma similar Squid puede devolver respuestas que contengan datos
privados a clientes.
Ambos problemas afectan a
versiones Squid 3.5 a 3.5.22 y Squid 4.0 a 4.0.16. Los problemas están solucionados
en las versiones Squid 3.5.23 y 4.0.17, o se puede también aplicar los parches
disponibles desde las alertas publicadas.
Más información:
Squid Proxy Cache Security Update Advisory
SQUID-2016:10
Information disclosure in Collapsed Forwarding
Squid Proxy
Cache Security Update Advisory SQUID-2016:11
Information
disclosure in HTTP Request processing
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario