The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в прокси-сервeре Squid

29.08.2011 22:26

Увидели свет корректирующие выпуски прокси-сервера Squid 3.0.STABLE26, 3.1.15 и 3.2.0.11, в которых исправлена критическая уязвимость в коде, обеспечивающем поддержку протокола Gopher. Проблема вызвана некорректным расчетом размера буфера при обработке слишком длинных ответов от Gopher-сервера (длиннее 4096 байт). Уязвимость может быть использована для осуществления выполнения кода злоумышленника, которому удастся инициировать запрос через прокси к подставному Gopher-серверу.

Временным решением проблемы может послужить блокирование доступа к Gopher через ACL:



    acl Gopher proto Gopher
    http_access deny Gopher



  1. Главная ссылка к новости (http://secunia.com/advisories/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/31624-squid
Ключевые слова: squid, proxy, security
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Ы (?), 22:35, 29/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Внезапно!Версии ниже 3.0.0 это не касается или они не поддерживаются?
     
     
  • 2.16, Aquarius (ok), 10:50, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Внезапно!
    код чуть не с нуля переписан
    если не ошибаюсь, аж в двух местах:
    2.6 -> 2.7
    2.x -> 3.x
     

  • 1.2, Аноним (-), 22:41, 29/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Временным решением проблемы может послужить блокирование доступа к Gopher через ACL:

    ИМХО можно напостоянно так и оставить. Лишний протокол = лишние баги. И им никто давно уже не пользуется. Зачем его вообще таскают?

     
  • 1.3, funt (?), 22:42, 29/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Gopher его еще кто то использует, зачем он вообще там нужен, можно уже было его давно выпилить
     
     
  • 2.4, umbr (ok), 22:52, 29/08/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По крайней мере его никто не отменял.
     
     
  • 3.8, Аноним (-), 04:38, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > По крайней мере его никто не отменял.

    Да в общем то не принято совсем отменять протоколы. Поэтому даже крайне древние протоколы формально не отменены. И? Практически все современные браузеры выбросили поддержку gopher. И серверов с ним на всю планету осталось несколько штук. Поэтому нет никакого смысла его таскать. А вот чем больше кода - тем больше багов (включая уязвимости, о чем и повествует данная новость).

     

  • 1.5, Пиу (?), 23:28, 29/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Критическая уязвимость в модуле Gopher прокси-сервера Squid
     
  • 1.6, Аноним (-), 00:17, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    ЧСХ, большинство дистров еще даже не почесалось насчет доса апача.
    А за сабжевую дыру, хорошо, если к новому году возьмутся.
     
     
  • 2.7, Sw00p aka Jerom (?), 04:25, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    +1 эт точно

    хотя апачевцы в серьёз взялись и кажись это проблема протокола хттп

     
     
  • 3.9, Аноним (-), 04:39, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > хотя апачевцы в серьёз взялись и кажись это проблема протокола хттп

    А почему у остальных сервера от таких приколов не клинит? Ну или покажите заклиненый таким манером nginx, например?

     
     
  • 4.10, Аноним (-), 10:33, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Появилось обновление для апача в дебиане 6.0
     
  • 4.15, Аноним (-), 14:43, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >А почему у остальных сервера от таких приколов не клинит?

    тот же IIS игнорирует стандарт, и его не клинит.

     

  • 1.11, XoRe (ok), 11:11, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Забавно.
    Из большой пятерки браузеров его никто не поддерживает.
    Только у FF есть плагин.
    Это надо ещё постараться найти клиент, который зайдет на gopher.
    А потом найти клиент, который зайдет на gopher через прокси.
    А потом найти клиент, который зайдет на gopher через прокси и попадет на сервер злоумышленников.
    Да можно конкурс устроить "кто умудрится стать жертвой уязвимости gopher?"
     
     
  • 2.12, Ivan_Pisarevsky (?), 12:30, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Было бы желание... заранее заготовить свой сервер, разослать хомячкам с "самой лучшей в мире ОСью" трояна с функционалом сабжевого клиента и теперь долбится оный троян на подставной сервер через прокси, которой указан в бравзере... Как бы цепочка не сказать чтоб длинная и нереализуемая.
     
     
  • 3.14, Аноним (-), 14:03, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прямо всемирный заговор по захвату squid'а какой-то :)

    Кстати, если вы уже поназаражали хомячков троянами - да зачем вам этот squid сдался с его супер-протоколом, когда у вас уже и так есть целый ботнет?! Соотношение затраченных усилий и результата - невкусное.

     
  • 2.13, Moomintroll (ok), 13:48, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эта уязвимость не в клиенте - браузере, а в squid'е!

    Т.е. атакуется прокся самописным клиентом, perl-скриптом, например, с использованием подставного gopher-сервера, который ради одного запроса тоже можно самому склепать на том же perl'е.

     

  • 1.17, www2 (??), 13:57, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Заблокировал, дрожа от страха. Жду когда ко мне придут разъярённые пользователи, пользующиеся этим протоколом. Хочу посмотреть на такого человека.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру