The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в прокси-сервере Squid, позволяющая обойти ограничения доступа

19.04.2020 08:59

Раскрыты сведения об уязвимостях в прокси-сервере Squid, которые без лишней огласки были устранены ещё в прошлом году в выпуске Squid 4.8. Проблемы присутствуют в коде обработки блока "@" в начале URL ("user@host") и позволяют обойти правила ограничения доступа, отравить содержимое кэша и совершать атаку с использованием межсайтового скриптинга.

  • CVE-2019-12524 - клиент при помощи специально оформленного URL может обойти правила, заданные при помощи директивы url_regex, и получить конфиденциальные сведения о прокси и обрабатываемом трафике (получить доступ к интерфейсу Cache Manager).
  • CVE-2019-12520 - через манипуляцию с данными об имени пользователя в URL можно добиться сохранения в кэше фиктивного содержимого для определённой страницы, что, например, может использоваться для организации выполнения своего JavaScript-кода в контексте других сайтов.


  1. Главная ссылка к новости (https://www.mail-archive.com/s...)
  2. OpenNews: Выпуск прокси-сервера Squid 4.8 с устранением критической уязвимости
  3. OpenNews: Стабильный релиз прокси-сервера Squid 4
  4. OpenNews: Первый выпуск Sonar, веб-интерфейса для прокси-сервера Squid
  5. OpenNews: Критическая уязвимость в прокси-сервeре Squid
  6. OpenNews: Выпуск прокси-сервера Squid 3.4.8 с устранением уязвимостей
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/52765-squid
Ключевые слова: squid
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (3), 09:26, 19/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > отравить содержимое кэша

    Произвести инъекцию смертельного яда?

     
     
  • 2.34, Аноним (34), 18:50, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Т.е. терминологией не владеете. Ок.
     
     
  • 3.48, Gogi (??), 17:40, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Юмор отдавлен медведем при рождении, ясно.
     

  • 1.6, Аноним (6), 10:01, 19/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Вся ветка 4.х абсолютно неюзабельна. Вплоть до 4.5 squid жрал память как не в себя, так что каждые два часа приходилось убивать и заново стартовать процесс. Вообще непонятно, чем разрабы занимались, пиля эту версию. Такое впечатление, что все силы вбухали в перехват https (по заказу большого брата, ага), ибо ssl-bump - это единственное, что в 4.х наконец-таки стало работать, как задумано.
     
     
  • 2.8, Аноним (8), 12:10, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Технология двойного назначения, для баннерорезок тоже нужно. Кстати, как с этим в privoxy?
     
     
  • 3.11, rshadow (ok), 13:01, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это все уже перетекло на клиента. Без проблем с перехватом https. Плюс каждый клиент может добавлять свои косметические фильтры.
    Привокси в целом тормознутый. Хотя и справлялся с вырезанием для 1-2 клиентов.
     
     
  • 4.12, Аноним (6), 13:07, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Это все уже перетекло на клиента.

    В корпоративном сегменте за каждым клиентом не набегаешься. Так что вещь все-таки нужная. НО - не в ущерб же всему остальному!
    Пулы задержки сломали напрочь, а на багрепорты спокойно отвечают, что де "да, знаем, но чинить не будем, потому что никто этим заниматься не хочет"
    Та же фигня с кастомными сообщениями об ошибках. Все работает - но только с Http, который отовсюду уже де-факто выпилен.

     
  • 4.13, user (??), 13:30, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >перетекло на клиента

    Использовал privoxy на локалхосте до массового https. Баннерорезки приходят и уходят, даже браузеры не вечные.

     
  • 4.16, Аноним (16), 15:12, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это все уже перетекло на клиента.

    Ага, всякие фейковые Abblock Origin и uBlock Plus расцвели.
    Нет уж, пусть лучше рекламу режет админ.

     
     
  • 5.19, user (??), 15:49, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Благими намерениями...
    Это цензура, говорю как пользователь баннерорезок.
     
     
  • 6.36, Аноним (36), 19:07, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Дома можешь делать что угодно. Оператор не сможет тебе ничего порезать - вначале тебе надо сертификат подбросить.
    А в корпорациях изволь соблюдать ЛНА и работать через централизованный прокси. Если он колет трафик то так и надо - это никакая не цензура.
     
  • 3.45, Аноним (45), 23:15, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/wheever/ProxHTTPSProxyMII

    В нагрузке не тестировал, для дома хватает, хоть одноплатник и грузит заметно

     
  • 2.35, Аноним (35), 18:56, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > жрал память как не в себя, так что каждые два часа приходилось убивать и заново стартовать процесс.

    в нашем случае это оказался кэш ACL у которого внезапно не оказалось никаких ограничений по размеру. Пришлось его вырезать.

     

  • 1.9, хотел спросить (?), 12:24, 19/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "cache deny all" решает проблему?
     
  • 1.17, Аноним (17), 15:28, 19/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Откройте секрет - зачем может понадобится suid в 2020 году?
     
     
  • 2.18, Аноним (6), 15:46, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Когда лет через 10 ты окончишь школу и институт, тебя (возможно) возьмут на работу в средне-крупную компанию (где от 1000 юзеров в штате). Там и поймешь.
     
     
  • 3.21, Annoynymous (ok), 16:29, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот я сейчас работаю в крупной компании, больше 10 тыс. юзеров в штате.

    Расскажи мне, а то мы может, что-то не то делаем без сквида-то.

     
     
  • 4.24, guest (??), 17:33, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Наверное и авторизация по  IP ).
     
     
  • 5.28, Annoynymous (ok), 17:46, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Наверное и авторизация по  IP ).

    Да. И домен. И внезапно появившийся неучтённый MAC адрес или IP будет доложен кому надо.

     
  • 4.38, Аноним (36), 19:10, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Прямая организация доступа в интернет, используя прокси с прозрачной авторизацией. А не сборка из железа и клиентского ПО которая куда только не должна лезть для работоспособности.
     
     
  • 5.46, Annoynymous (ok), 08:54, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Прямая организация доступа в интернет, используя прокси с прозрачной авторизацией. А не
    > сборка из железа и клиентского ПО которая куда только не должна
    > лезть для работоспособности.

    Squid, как кеширующий прокси, для такой задачи слегка избыточен, не?

    Или лучше просто не придумали?

     
     
  • 6.52, Аноним (52), 21:26, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А есть ещё варианты? Только пожалуйста без клиентской части на пользовательских машинах. Что мне попадалось кривое как неизвестно что.
     
     
  • 7.53, Annoynymous (ok), 23:03, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да хоть 3proxy, которая намного легче, а кеширование в эпоху https никому не надо.

    Но у нас нет проблемы «без клиентской части», поэтому мы всё это не используем. Я просто интересуюсь.

     
     
  • 8.54, Аноним (54), 21:42, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Когда делаешь ссл-бампинг с кэшем трафика эффективность прыгает от 40 до 60 Вс... текст свёрнут, показать
     
  • 5.50, АнонимусЪ (?), 18:30, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так расскажите как у Вас устроено, а то все говорят прозрачны прокси, а как что, не добиться.
     
     
  • 6.51, Аноним (52), 21:24, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А что там  такого? Вяжешь машинку с доменом. Через хелпер объясняешь какие группы смотреть в тикетах. Прокси кидаешь в доверенную зону. Если ссл-бампинг делать всем ещё сертифкаты корневые подбрасываешь.
     
  • 4.22, СеменСеменыч777 (?), 17:07, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > мы может, что-то не то делаем без сквида-то.

    может быть и такое.
    как вы урезаете гугл-аналитику и яндекс-метрику ?

    inb4 "я сижу под NDA кококо".

     
  • 2.30, хотел спросить (?), 18:09, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    альтернатива VPN для доступа к нужным сайтам

    удобно вместе с FoxyProxy юзать, паттерны прописал и все норм

     
  • 2.32, OpenEcho (?), 18:26, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >зачем может понадобится suid в 2020 году?

    s/suid/squid/g

    Вероятно потому, что еще есть народ и компании, которые не хотят чтобы у них крали их данные.
    Если вы поставите в сети файрвол, который умеет следить и ограничивать исходящий трафик, то вы поймете, как сильно вас хотят поиметь. В конторах, заботящихся о секретах компании, а также просто люди не желающе быть эксперементальной крысой, закрывают весь исходящий трафик и открывают только выход в мир через прокси с авторизацией, где на прокси можо следить за перехваченным трафиком и принимать решение - позволить или нет такой трафик...    

     
  • 2.42, анончик (?), 21:43, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а что, в 2020 году что-то ещё научилось в ICAP? я когда последний раз смотрел -- вариантов не было, ни nginx, ни haproxy в него не умели.
     
  • 2.44, Ананимас008 (?), 22:51, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    можно менять банеры на картинки с котиками
     

  • 1.25, guest (??), 17:35, 19/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И парсер логов lightsquid )))
     
  • 1.26, guest (??), 17:41, 19/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    10 000 пользователей через 1 внешний IP. И вы еще спрашиваете что вы делаете не так?
     
     
  • 2.29, Аноним (29), 17:48, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В свое время в одной сети продуктовых магазинов все магазины ходили через одну проксю правда на фрибсд. И всех все устраивало.
     
  • 2.47, PnD (??), 12:25, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну поставьте 10 и балансировщик. Сложно?
    Кэш даже если нужен (где? в тайге? в джунглях Амазонки? А откуда там тысячи коннектов?), много хитов не потеряете.
    * О, припомнил что кальмар и балансировать умел, ещё в 200х. Так что, кэш и SSL-bump можно прямо на "фронтэнде" (со стороны клиентов) и дальше раскидать по "спикерам"-бэкэндам.
     

  • 1.31, guest (??), 18:13, 19/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А еще когда то на dial up сидели. И тоже всех устраивало, В СВОЕ ВРЕМЯ
     
     
  • 2.39, Аноним (29), 19:10, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Золотое было время.
     

  • 1.49, Gogi (??), 17:53, 20/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне кажется или ошибки рода "специально сформированный URL" - это позорное позорище **овноразработчиков? В 21 веке не уметь парсить элементарные структуры... с проверкой на правильность... это *овнокод однозначно. Уверен, каждый из его разрабов с гордостью сообщает в CV, что он приложил руку к программе. А они не упоминают, какие ДЫРЫ они не закрыли?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру