Se ha identificado una vulnerabilidad en Squid que puede permitir a clientes remotos sortear la seguridad, catalogada de Importancia: 4 - Alta
Recursos afectados
- Todas
las versiones de Squid hasta la 3.5.5 incluida.
Recomendación
El fallo está corregido en la versión 3.5.6. Para las
versiones anteriores se han publicado actualizaciones:
- Squid 3.4 http://www.squid-cache.org/Versions/v3/3.4/changesets/squid-3.4-13225.patch
- Squid 3.5
http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13856.patch
Detalle e Impacto de la vulnerabilidad
- El
investigador Alex Rousskov ha informado de un fallo de seguridad en el
proxy Squid producido por la gestión incorrecta de las respuestas del
método CONNECT, en el caso de que esté configurada la opción de cache_peer
en el fichero squid.conf.
Más información
- Squid Proxy Cache Security Update Advisory
SQUID-2015:2 http://www.squid-cache.org/Advisories/SQUID-2015_2.txt