Se ha solucionado una
vulnerabilidad en Squid que podría permitir que un servidor evite la validación
de certificados cliente.
Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).
Detalle e Impacto potencial de la vulnerabilidad
- El fallo está considerado importante debido a que podría permitir que servidores remotes realicen la validación de certificados cliente. El problema reside en la validación de los campos hostname/domain de un certificado X509. Algunos atacantes también pueden utilizar certificados válidos firmados por una Autoridad Certificadora para un dominio para abusar de un dominio ajeno.
- La vulnerabilidad, con CVE-2015-3455, solo es explotable en sistemas Squid con "SSL-Bumb" con el modo de operación "client-first" o "bump". Se ven afectadas las versiones Squid 3.2 a 3.2.13, Squid 3.3 a 3.3.13, Squid 3.4 a 3.4.12 y Squid 3.5 a 3.5.3.
Los problemas están solucionados en las
versiones Squid 3.5.4, 3.4.13, 3.3.14 y 3.2.14.
o se puede también aplicar los parches
disponibles desde:
- Squid 3.2 http://www.squid-cache.org/Versions/v3/3.2/changesets/squid-3.2-11836.patch
- Squid 3.3 http://www.squid-cache.org/Versions/v3/3.3/changesets/squid-3.3-12690.patch
- Squid 3.4 http://www.squid-cache.org/Versions/v3/3.4/changesets/squid-3.4-13222.patch
- Squid 3.5 http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13817.patch
Más información:
- Squid Proxy Cache Security Update Advisory
SQUID-2015:1. Incorrect X509 server
certificate validation http://www.squid-cache.org/Advisories/SQUID-2015_1.txt