The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск прокси-сервера  Squid 4.8 с устранением кри..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск прокси-сервера  Squid 4.8 с устранением кри..."  +/
Сообщение от opennews (??), 14-Июл-19, 19:40 
Опубликован (https://www.mail-archive.com/squid-announce@lists.squid...) корректирующий выпуск прокси-сервера  Squid 4.8 (http://www.squid-cache.org/), в котором устранено 5 уязвимостей. Одна уязвимость  (CVE-2019-12527) позволяет (https://www.mail-archive.com/squid-announce@lists.squid...) потенциально организовать выполнение кода с правами серверного процесса.

Проблема вызвана ошибкой в обработчике аутентификации HTTP Basic и позволяет инициировать переполнение буфера при передаче специальной оформленных учётных данных при обращении к Squid Cache
Manager или встроенному шлюзу FTP. Уязвимость проявляется начиная с выпуска Squid 4.0.23. В качестве обходного пути блокирования уязвимости можно пересобрать squid с опцией "--disable-auth-basic" или запретить в конфигурации обращение к сервисам, использующим HTTP-аутентификацию:

    acl FTP proto FTP
    http_access deny FTP
    http_access deny manager


Другие три уязвимости могут привести к отказу в обслуживании при манипуляциях с  cachemgr.cgi, аутентификации HTTP Digest или HTTP Basic. Оставшаяся уязвимость позволяет организовать межсайтовый скриптинг через cachemgr.cgi.

URL: https://www.mail-archive.com/squid-announce@lists.squid...
Новость: https://www.opennet.ru/opennews/art.shtml?num=51087

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  –13 +/
Сообщение от Аноним (1), 14-Июл-19, 19:40 
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. Скрыто модератором  +11 +/
Сообщение от helgi (??), 14-Июл-19, 19:47 
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. Скрыто модератором  +3 +/
Сообщение от Аноним84701 (ok), 14-Июл-19, 19:52 
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. Скрыто модератором  –2 +/
Сообщение от Аноним (6), 14-Июл-19, 21:39 
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. Скрыто модератором  +2 +/
Сообщение от Аноним (4), 14-Июл-19, 21:15 
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +/
Сообщение от аноним3 (?), 14-Июл-19, 21:51 
помнится о squid я услышал еще в 2001 году. а так он написан на с++ и первый выпуск был в 1996 году. так что это не какая то поделка на яваскрипт или электроне. но как у всех программ у него тоже встречаются дыры. у хелловордов разве что наверно нет))))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +5 +/
Сообщение от Аноним (8), 14-Июл-19, 22:36 
Squid Был написан на C.
Версия 4 была переписана на С++ фактически с нуля, что объясняет чудовищное количество проблем в этой ветке, и то, каким стремительным домкратом он за каких-то полгода (плюс-минус пара месяцев) пронесся от 4.0 к 4.8

На багрепорты разработчики уже совершенно официально отвечают, что пофиксят в 5 версии...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +2 +/
Сообщение от Аноним (9), 14-Июл-19, 23:16 
На C++ он был переписан в 3.x...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  –4 +/
Сообщение от аноним3 (?), 15-Июл-19, 02:54 
и все же чистый си остается вне конкуренции))) хотя плюсы ничего, но после их игр с ООП язык и правда получил кучу проблем. хотя сейчас я не видел языков без проблем. ни одного. а нет ассемблер)))
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  –2 +/
Сообщение от Аноним (20), 15-Июл-19, 10:50 
А что, C++ был раньше без ООП? ;)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

26. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +/
Сообщение от аноним3 (?), 15-Июл-19, 17:29 
я о том и писал, что как только они все поголовно в то время взялись за идею ООП в языках программирования, полезла куча дырявого и кривого кода. хотя как бы новая "веха" в программировании)). это правда жалость.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

30. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +/
Сообщение от Аноним (30), 16-Июл-19, 15:53 
Написан на си

Переполнение буфера

Никогда такого не было и вот опять

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  –1 +/
Сообщение от Ktoto (?), 15-Июл-19, 08:36 
А зачем сегодня squid если всё поголовно используют SSL ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +1 +/
Сообщение от Аноним (12), 15-Июл-19, 09:14 
Во-первых, SSL уже никто не использует, все используют TLS. Во-вторых, squid умеет в TLS, но это сложно — ндо доку читать, ты не осилишь.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +/
Сообщение от Аноним (12), 15-Июл-19, 09:15 
Совсем забыл: в-третьих, невзирая на вышенаписанное, squid и прочие прокси, конечно же, не нужны.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +/
Сообщение от anonim6789900 (?), 15-Июл-19, 09:27 
Как и многие провайдерские DPI (за много денег), на нем основанные :).

Как и всякие провайдерские ContentCache-ы, опять же на нем родимом основанные.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +/
Сообщение от пох. (?), 15-Июл-19, 13:19 
провайдеры, в XXI веке подсовывающие свою контент-кашу вместо интернета - не нужны, присоединяюсь к анониму.
Вместе со своими dpi.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  –1 +/
Сообщение от anonim6789900 (?), 15-Июл-19, 16:16 
Без локального (на стороне провайдера/CDN) кэширования, забудь про безлимитный ютюбчик/вотсапчик/онлайн-кинцо и прочие прелести "безлиминтого" интернета. Конечно пременяется там не только кальмар, но и нджинкс и самописные кеши, но по гамбургскому счету это все контент-кэш.

З.Ы.: А на предприятиях, так кальмар, вообще без вариантов.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

14. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  –2 +/
Сообщение от Ktoto (?), 15-Июл-19, 09:17 
это не меняет того факта что в шифрованый трафик squid заглянуть не может, но тебе ведь только ляпнуть чего нужно. Троль.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +4 +/
Сообщение от Аноним (16), 15-Июл-19, 09:47 
Читай про ssl-bumping до просветления.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +3 +/
Сообщение от Аноним (16), 15-Июл-19, 09:52 
Есть такая вещь, как "корпоративный прокси". Кешированием практически не занимается, но с успехом рулит доступом юзеров к сети, фильтрует контент и худо-бедно, со своей странной спецификой, но таки занимается дележом пропускной способности канала. А еще позволяет строить весьма интересные иерархические структуры из проксей, благодаря чему можно, например, обеспечивать пользователю географическое присутствие там, где ему нужно согласно данной конкретной задаче. И поголовное использование ssl/tls тут абсолютно параллельно.
В общем, читай рулезы, они рулез.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  –1 +/
Сообщение от Ktoto (?), 15-Июл-19, 10:02 
Мог сразу сказать что только как MiM, и не тратить моё время. Троль.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +1 +/
Сообщение от Аноним (16), 15-Июл-19, 10:43 
> Мог сразу сказать что только как MiM

Спасибо, Кэп!

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +/
Сообщение от Аноним (21), 15-Июл-19, 12:29 
боженьки божи, опять переполнение буфера. да что с этими программистами не так!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +1 +/
Сообщение от Аноним (23), 15-Июл-19, 15:34 
//опять молотком по пальцу, да что же с этим молотком?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +/
Сообщение от Аноним84701 (ok), 15-Июл-19, 16:43 
> //опять молотком по пальцу, да что же с этим молотком?

Молотки, как и аналогии, разные бывают:
https://wiki.installgentoo.com/images/8/88/PHP_Hammer.jpg

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  –1 +/
Сообщение от Аноним (27), 15-Июл-19, 23:14 
Это не молоток, я тебя огорчу.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +/
Сообщение от Аноним (21), 15-Июл-19, 23:47 
так если инструментом кто попало будет пользоваться, разумеется он себе пальцы поотшибает.
инструментом должны пользоваться профессионалы, а не дилетанты, внезапно.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "Выпуск прокси-сервера  Squid 4.8 с устранением критической у..."  +/
Сообщение от Ононимко (?), 16-Июл-19, 07:40 
А ты, я смотрю, професси-анал, правда?
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру