Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/07/2013
Denegación de servicio en Squid
Se ha solucionado una vulnerabilidad de denegación de servicio en la validación de datos de entrada en el control de las cabeceras HTTP de SQUID.Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).
El problema reside en el tratamiento de peticiones HTTP que contengan valores de número de puerto manipulados en la cabecera "Host". Un atacante remoto podría aprovechar este problema para provocar condiciones de denegación de servicio a través del envió de cabeceras HTTP especialmente tratadas.
Sistemas Afectados:SQUID 3.2.x (hasta 3.2.12) y 3.3.x (hasta 3.3.7).
Referencias:CVE-2013-4123
Solución:Los problemas están solucionados en las versiones Squid 3.2.13 y 3.3.8, por lo que se debe actualizar a dichas versiones.
También se pueden también aplicar los parches disponibles para las versiones Squid 3.2 y Squid 3.3.
Notas:Hispasec una-al-dia
SQUID-2013:3