Squid Proxy Cache. Vulnerabilidad de denegación de servicio

Denegación de servicio en Squid Proxy Caché consecuencia de un manejo incorrecto de estados en solicitudes HTTPS, con nivel de  Importancia: 3 - Media

Recursos afectados

 Se  encuentran afectadas las siguientes  versiones de Squid:

1. Todas las versiones de Squid-3.1 sin parchear
2. Todas las versiones de Squid-3.2
3. Todas las versiones sin parchear de Squid-3.3 hasta 3.3.11 (incluida)
4. Todas las versiones sin parchear de Squid-3.4 hasta 3.3.3 (incluida)

Detalle e Impacto de las vulnerabilidades

La funcionalidad de Squid SSL-bump utilizada en la interceptación de tráfico SSL de conexiones HTTPS, presenta una vulnerabilidad que posibilita a clientes que realicen ciertas consultas HTTPS establecer una denegación de servicio. Exiten clentes software muy populares que hacen uso de este tipo de solicitudes en su operación habitual.

Recomendación

 Instalación de parches:

1. Squid 3.3: squid-3.3-12677.patch ( http://www.squid-cache.org/Versions/v3/3.3/changesets/squid-3.3-12677.patch )
2. Squid 3.4: squid-3.4-13104.patch ( http://www.squid-cache.org/Versions/v3/3.4/changesets/squid-3.4-13104.patch )

Si utiliza versión instalada desde un paquete de software, consulte la información de actualizaciones del fabricante

Alternativamente al parcheado/actualización:

1. Deshabilitar SSL-bump para los clientes afectados, añadiendo la regla "ssl_bump none" al comienzo de las directivas de configuración de ssl_bump
2. Ó deshabilitar la funcionalidad SSL-bump, eliminando la opción ssl-bump en todas las directivas http_port y/o https_port
3. Ó usar TCP_RESET en lugar de la páginas de error generadas por Squid. Téngase en cuenta que esta solución es parcial ya que alguna páginas de error no pueden ser evitadas

Más información

• Squid http://www.squid-cache.org/Advisories/SQUID-2014_1.txt

Fuente: INTECO