Solucionadas dos vulnerabilidades en Squid
Se han solucionado dos vulnerabilidades en SQUID versiones 3x y 4.x que podrían permitir a atacantes remotos conseguir información sensible del sistema atacado.
Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).
El primer problema, con CVE-2016-10003, se debe a una comparación incorrecta de las cabeceras de las peticiones, Squid puede devolver respuestas que contengan datos privados a clientes a los que no debería llegar. Por otra parte, con CVE-2016-10002, otra vulnerabilidad debida a la manipulación incorrecta de petición condicional HTTP, de forma similar Squid puede devolver respuestas que contengan datos privados a clientes.
Ambos problemas afectan a versiones Squid 3.5 a 3.5.22 y Squid 4.0 a 4.0.16. Los problemas están solucionados en las versiones Squid 3.5.23 y 4.0.17, o se puede también aplicar los parches disponibles desde las alertas publicadas.
Más información:
Squid Proxy Cache Security Update Advisory SQUID-2016:10
Information disclosure in Collapsed Forwarding
Squid Proxy Cache Security Update Advisory SQUID-2016:11
Information disclosure in HTTP Request processing
Antonio Ropero
Twitter: @aropero
Via: unaaldia.hispasec.com
Solucionadas dos vulnerabilidades en Squid
Reviewed by Zion3R
on
17:58
Rating: