The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск прокси-сервера Squid 4.8 с устранением критической уязвимости

14.07.2019 19:17

Опубликован корректирующий выпуск прокси-сервера Squid 4.8, в котором устранено 5 уязвимостей. Одна уязвимость (CVE-2019-12527) позволяет потенциально организовать выполнение кода с правами серверного процесса.

Проблема вызвана ошибкой в обработчике аутентификации HTTP Basic и позволяет инициировать переполнение буфера при передаче специально оформленных учётных данных при обращении к Squid Cache Manager или встроенному шлюзу FTP. Уязвимость проявляется начиная с выпуска Squid 4.0.23. В качестве обходного пути блокирования уязвимости можно пересобрать squid с опцией "--disable-auth-basic" или запретить в конфигурации обращение к сервисам, использующим HTTP-аутентификацию:


    acl FTP proto FTP
    http_access deny FTP
    http_access deny manager

Другие три уязвимости могут привести к отказу в обслуживании при манипуляциях с cachemgr.cgi, аутентификации HTTP Digest или HTTP Basic. Оставшаяся уязвимость позволяет организовать межсайтовый скриптинг через cachemgr.cgi.

  1. Главная ссылка к новости (https://www.mail-archive.com/s...)
  2. OpenNews: Стабильный релиз прокси-сервера Squid 4
  3. OpenNews: Первый выпуск Sonar, веб-интерфейса для прокси-сервера Squid
  4. OpenNews: Стабильный релиз прокси-сервера Squid 3.5
  5. OpenNews: Выпуск прокси-сервера Squid 3.4.8 с устранением уязвимостей
  6. OpenNews: Компания MariaDB представила прокси-сервер MaxScale 2.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: squid
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 19:40, 14/07/2019 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –13 +/
     
     
  • 2.2, helgi (??), 19:47, 14/07/2019 Скрыто модератором
  • +11 +/
     
  • 2.3, Аноним84701 (ok), 19:52, 14/07/2019 Скрыто модератором
  • +3 +/
     
     
  • 3.6, Аноним (6), 21:39, 14/07/2019 Скрыто модератором
  • –2 +/
     
  • 2.4, Аноним (4), 21:15, 14/07/2019 Скрыто модератором
  • +2 +/
     

     ....ответы скрыты модератором (4)

  • 1.7, аноним3 (?), 21:51, 14/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    помнится о squid я услышал еще в 2001 году. а так он написан на с++ и первый выпуск был в 1996 году. так что это не какая то поделка на яваскрипт или электроне. но как у всех программ у него тоже встречаются дыры. у хелловордов разве что наверно нет))))
     
     
  • 2.8, Аноним (8), 22:36, 14/07/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Squid Был написан на C.
    Версия 4 была переписана на С++ фактически с нуля, что объясняет чудовищное количество проблем в этой ветке, и то, каким стремительным домкратом он за каких-то полгода (плюс-минус пара месяцев) пронесся от 4.0 к 4.8

    На багрепорты разработчики уже совершенно официально отвечают, что пофиксят в 5 версии...

     
     
  • 3.9, Аноним (9), 23:16, 14/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На C++ он был переписан в 3.x...
     
  • 3.10, аноним3 (?), 02:54, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    и все же чистый си остается вне конкуренции))) хотя плюсы ничего, но после их игр с ООП язык и правда получил кучу проблем. хотя сейчас я не видел языков без проблем. ни одного. а нет ассемблер)))
     
     
  • 4.20, Аноним (20), 10:50, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А что, C++ был раньше без ООП? ;)
     
     
  • 5.26, аноним3 (?), 17:29, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    я о том и писал, что как только они все поголовно в то время взялись за идею ООП в языках программирования, полезла куча дырявого и кривого кода. хотя как бы новая "веха" в программировании)). это правда жалость.
     
  • 3.30, Аноним (30), 15:53, 16/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Написан на си

    Переполнение буфера

    Никогда такого не было и вот опять

     

  • 1.11, Ktoto (?), 08:36, 15/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А зачем сегодня squid если всё поголовно используют SSL ?
     
     
  • 2.12, Аноним (12), 09:14, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Во-первых, SSL уже никто не использует, все используют TLS. Во-вторых, squid умеет в TLS, но это сложно — ндо доку читать, ты не осилишь.
     
     
  • 3.13, Аноним (12), 09:15, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Совсем забыл: в-третьих, невзирая на вышенаписанное, squid и прочие прокси, конечно же, не нужны.
     
     
  • 4.15, anonim6789900 (?), 09:27, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как и многие провайдерские DPI (за много денег), на нем основанные :).

    Как и всякие провайдерские ContentCache-ы, опять же на нем родимом основанные.

     
     
  • 5.22, пох. (?), 13:19, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    провайдеры, в XXI веке подсовывающие свою контент-кашу вместо интернета - не нужны, присоединяюсь к анониму.
    Вместе со своими dpi.

     
     
  • 6.24, anonim6789900 (?), 16:16, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Без локального (на стороне провайдера/CDN) кэширования, забудь про безлимитный ютюбчик/вотсапчик/онлайн-кинцо и прочие прелести "безлиминтого" интернета. Конечно пременяется там не только кальмар, но и нджинкс и самописные кеши, но по гамбургскому счету это все контент-кэш.

    З.Ы.: А на предприятиях, так кальмар, вообще без вариантов.

     
  • 3.14, Ktoto (?), 09:17, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    это не меняет того факта что в шифрованый трафик squid заглянуть не может, но тебе ведь только ляпнуть чего нужно. Троль.
     
     
  • 4.16, Аноним (16), 09:47, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Читай про ssl-bumping до просветления.
     
  • 2.17, Аноним (16), 09:52, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Есть такая вещь, как "корпоративный прокси". Кешированием практически не занимается, но с успехом рулит доступом юзеров к сети, фильтрует контент и худо-бедно, со своей странной спецификой, но таки занимается дележом пропускной способности канала. А еще позволяет строить весьма интересные иерархические структуры из проксей, благодаря чему можно, например, обеспечивать пользователю географическое присутствие там, где ему нужно согласно данной конкретной задаче. И поголовное использование ssl/tls тут абсолютно параллельно.
    В общем, читай рулезы, они рулез.
     

  • 1.18, Ktoto (?), 10:02, 15/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Мог сразу сказать что только как MiM, и не тратить моё время. Троль.
     
     
  • 2.19, Аноним (16), 10:43, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Мог сразу сказать что только как MiM

    Спасибо, Кэп!

     

  • 1.21, Аноним (21), 12:29, 15/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    боженьки божи, опять переполнение буфера. да что с этими программистами не так!
     
     
  • 2.23, Аноним (23), 15:34, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    //опять молотком по пальцу, да что же с этим молотком?
     
     
  • 3.25, Аноним84701 (ok), 16:43, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > //опять молотком по пальцу, да что же с этим молотком?

    Молотки, как и аналогии, разные бывают:
    https://wiki.installgentoo.com/images/8/88/PHP_Hammer.jpg

     
     
  • 4.27, Аноним (27), 23:14, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это не молоток, я тебя огорчу.
     
  • 3.28, Аноним (21), 23:47, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так если инструментом кто попало будет пользоваться, разумеется он себе пальцы поотшибает.
    инструментом должны пользоваться профессионалы, а не дилетанты, внезапно.
     
     
  • 4.29, Ононимко (?), 07:40, 16/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А ты, я смотрю, професси-анал, правда?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру