Denegación de
servicio en Squid Proxy Caché consecuencia de un manejo incorrecto de estados
en solicitudes HTTPS, con nivel de Importancia:
3 - Media
Recursos afectados
Se encuentran afectadas las siguientes versiones de Squid:
- Todas las versiones de Squid-3.1 sin parchear
- Todas las versiones de Squid-3.2
- Todas las versiones sin parchear de Squid-3.3 hasta 3.3.11 (incluida)
- Todas las versiones sin parchear de Squid-3.4 hasta 3.3.3 (incluida)
La funcionalidad de Squid SSL-bump utilizada en la interceptación de tráfico SSL de conexiones HTTPS, presenta una vulnerabilidad que posibilita a clientes que realicen ciertas consultas HTTPS establecer una denegación de servicio. Exiten clentes software muy populares que hacen uso de este tipo de solicitudes en su operación habitual.
Recomendación
Instalación de parches:
- Squid 3.3: squid-3.3-12677.patch ( http://www.squid-cache.org/Versions/v3/3.3/changesets/squid-3.3-12677.patch )
- Squid 3.4: squid-3.4-13104.patch ( http://www.squid-cache.org/Versions/v3/3.4/changesets/squid-3.4-13104.patch )
Alternativamente al parcheado/actualización:
- Deshabilitar SSL-bump para los clientes afectados, añadiendo la regla "ssl_bump none" al comienzo de las directivas de configuración de ssl_bump
- Ó deshabilitar la funcionalidad SSL-bump, eliminando la opción ssl-bump en todas las directivas http_port y/o https_port
- Ó usar TCP_RESET en lugar de la páginas de error generadas por Squid. Téngase en cuenta que esta solución es parcial ya que alguna páginas de error no pueden ser evitadas