Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/05/2015
Trobada vulnerabilitat en Squid
S’han publicat actualitzacions per a Squid que corregixen una fallada en la validació de certificats de client.S’ha detectat una fallada en Squid, un popular servidor intermediari, que podria permetre a servidors remots realitzar la validació de certificats de client. El problema residix en la validació dels camps hostname i domain del certificat x509.
La vulnerabilitat, considerada important, només és explotable en sistemes Squid amb "SSL-Bump" amb el mode d’operació "client-first" o "bump" configurats.
Sistemes Afectats:Squid 3.2 a 3.5.
Referències:CVE-2015-3455
Solució:Cal instal·lar les versions Squid 3.5.4, 3.4.13, 3.3.14 i 3.2.14 que solucionen esta vulnerabilitat, o aplicar els pedaços disponibles per a les diferents versions: Squid 3.2, Squid 3.3, Squid 3.4, Squid 3.5.
Notes: