You are here

Критическая уязвимость в прокси-сервeре Squid

Наконец то вышел корректирующий выпуск Squid 3.0.STABLE26 – прокси-сервера, а также: 3.1.15 и 3.2.0.11, основой стало исправление критической уязвимости в коде, для поддержки протокола Gopher.

Вся проблема была в некорректном размере буфера при обработке длинных ответов от Gopher-сервера, а точнее, более чем 4096 байт!

Что может произойти? Можно произвести выполнение кода злоумышленником, который сможет инициировать запрос через проксю к подставному Gopher серваку)

Что делать?

Временное решение: Блокирование доступа к Gopher через ACL:

    acl Gopher proto Gopher

    http_access deny Gopher

 

Автор: AdminLS
Источникhttp://linuxsql.ru