CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

25/04/2018

Nova vulnerabilitat en Squid

S'ha reportat una nova vulnerabilitat en productes squid quan aquests són utilitzats com a proxy invers, aquesta vulnerabilitat podria permetre a un atacant no autenticat causar una condició de denegació del servei.

Risc: Alt

La vulnerabilitat concretament es troba en ClientRequestContext::sslBumpAccessCheck() a causa del maneig incorrecte del punter quan es processen les respostes d’ESI.

Aquest problema permet que un servidor remot lliure respostes ESI especialment dissenyades per a activar una denegació de servei per a tots els usuaris que accedisquen al sistema.

 

Sistemes Afectats: Referències:

CVE-2018-1172

Solució:

Aquesta vulnerabilitat és corregida en la versió Squid 4.0.13.

A més, les actualitzacions que solucionen aquest problema en les versions estables es troba disponible en el repositori de pegats:

Per a versions preempaquetades de Squid, consulte amb el seu proveïdor per a obtindre més informació sobre la disponibilitat d'actualitzacions.

Notes:

Més informació ací.

 

Font: CERTSI

CSIRT-CV