Se ha solucionado una vulnerabilidad de denegación de
servicio en SQUID versiones 3.5.13 y 4.0.4 a 4.0.5
Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).
Detalle e Impacto de la
vulnerabilidad.
- El problema, con CVE-2016-2390, reside en un tratamiento incorrecto de los errores de servidor, lo que permitir condiciones de denegación de servicio cuando Squid se conecta a servidores TLS o SSL.
Recomendación
- Los problemas están solucionados en las versiones Squid 3.5.14 y 4.0.6.
- También puede aplicarse los parches disponibles desde: Squid 3.5 http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13981.patch
Más información:
- Squid Proxy Cache Security Update Advisory SQUID-2016:1 Remote Denial of service issue in SSL/TLS processing http://www.squid-cache.org/Advisories/SQUID-2016_1.txt
Fuente: Hispasec