Vulnerabilidades de desbordamiento de búfer y validación incorrecta de entrada posibilitarían la ejecución de código de forma remota, fuga de información y podrían provocar denegación de servicio en el proxy Squid. Las vulnerabilidades se ha catalogado de Importancia: 4 - Alta
Recursos afectados
Las versiones afectadas son:
- Todas las
versiones Squid 2.x
- Squid 3.x hasta
3.5.16
- Squid 4.x hasta
4.0.8
Detalle e impacto de
las vulnerabilidades
- Vulnerabilidades
en el procesamiento de solicitudes ESI: fallos en la validación de
peticiones ESI y problemas de desbordamiento de búfer posibilitarían la
fuga de información de memoria del servidor, así como la ejecución de
código de forma remota. Se han reservado los identificadores
CVE-2016-4052, CVE-2016-4053, CVE-2016-4054.
- Desbordamiento
de búfer en cachemgr.cgi: un manejo incorrecto del búfer de
memoria en componente cachemgr.cgi provocaría un fallo de desbordamiento
de búfer cuando procesa peticiones remotas enviadas desde Squid. Se ha
reservado el identificador CVE-2016-4051 para esta vulnerabilidad.
Recomendación
- Actualizar a las
versiones Squid 3.5.17 o Squid 4.0.9.
- Alternativamente,
y en caso de no ser posible aplicar las actualizaciones, se puede optar
por recompilar el software con la opción --disable-esi y utilizar
herramientas CGI alternativas a cachemgr.cgi como squidclient. Para
ampliar información consultar los enlaces proporcionados en la sección
"Referencias".
Más informaión
- Squid Proxy Cache Security Update Advisory
SQUID-2016:6 http://www.squid-cache.org/Advisories/SQUID-2016_6.txt
- Squid Proxy Cache Security Update Advisory
SQUID-2016:5 http://www.squid-cache.org/Advisories/SQUID-2016_5.txt