Выпуск прокси-сервера Squid 4.8 с устранением критической уязвимости

14 июля 2019 года

Опубликован корректирующий выпуск прокси-сервера Squid 4.8, в котором устранено 5 уязвимостей. Одна уязвимость (CVE-2019-12527) позволяет потенциально организовать выполнение кода с правами серверного процесса.

Проблема вызвана ошибкой в обработчике аутентификации HTTP Basic и позволяет инициировать переполнение буфера при передаче специально оформленных учётных данных при обращении к Squid Cache Manager или встроенному шлюзу FTP. Уязвимость проявляется начиная с выпуска Squid 4.0.23. В качестве обходного пути блокирования уязвимости можно пересобрать squid с опцией "--disable-auth-basic" или запретить в конфигурации обращение к сервисам, использующим HTTP-аутентификацию:


acl FTP proto FTP
http_access deny FTP
http_access deny manager

Другие три уязвимости могут привести к отказу в обслуживании при манипуляциях с cachemgr.cgi, аутентификации HTTP Digest или HTTP Basic. Оставшаяся уязвимость позволяет организовать межсайтовый скриптинг через cachemgr.cgi.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Выпуск прокси-сервера Squid 4.8 с устранением критической уязвимости», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.