Se han solucionado dos vulnerabilidades en SQUID
versiones 3x y 4.x que podrían permitir a atacantes remotos conseguir
información sensible del sistema atacado.
Squid es uno de los servidores proxys más populares, en
gran parte por ser de código abierto y multiplataforma (aunque sus comienzos
fueron para sistemas Unix).
El primer problema, con CVE-2016-10003, se debe a una
comparación incorrecta de las cabeceras de las peticiones, Squid puede devolver
respuestas que contengan datos privados a clientes a los que no debería llegar.
Por otra parte, con CVE-2016-10002, otra vulnerabilidad debida a la
manipulación incorrecta de petición condicional HTTP, de forma similar Squid
puede devolver respuestas que contengan datos privados a clientes.
Ambos problemas afectan a versiones Squid 3.5 a 3.5.22 y
Squid 4.0 a 4.0.16. Los problemas están solucionados en las versiones Squid
3.5.23 y 4.0.17, o se puede también aplicar los parches disponibles desde las
alertas publicadas.
Más información:
- Squid Proxy
Cache Security Update Advisory SQUID-2016:10. Information disclosure in Collapsed
Forwarding. http://www.squid-cache.org/Advisories/SQUID-2016_10.txt
- Squid Proxy
Cache Security Update Advisory SQUID-2016:11. Information disclosure in
HTTP Request processing. http://www.squid-cache.org/Advisories/SQUID-2016_11.txt
