Descarga aquí
el PDF gratis
2002

Jul
06

06/07/2002 Actualización de seguridad para Squid

Acaba de hacerse pública la versión squid-2.4.STABLE7 que soluciona
varios problemas de seguridad en Squid y productos relacionados.
Squid es un servidor proxy ampliamente utilizado por sus amplias
posibilidades de configuración y su alto rendimiento. Ofrece soporte
para cacheo de FTP, gopher y HTTP.

Entre los cambios relacionados con la seguridad de esta nueva versión,
nos encontramos:<bR>
- Reparación y limpieza del cliente Gopher, que corrige algunas
vulnerabilidades y problemas al mostrar menús.<bR>
- Reparaciones en la forma en que se procesan los directorios FTP a
HTML. Se cree que tanto este problema como el anterior pueden ser
explotados remotamente y provocar la ejecución de código al visitar
un sitio especialmente creado. <bR>
- Nueva opción "ftp_sanitycheck" que chequea que los canales de datos
FTP coinciden correctamente con el servidor, para prevenir la
inyección de datos en la conexión.<bR>
- El ayudante de autenticación MSNT ha sido actualizado a la versión
2.0.3+fixes debido a que se han encontrado ciertos buffer overflows
bajo ciertos tipos de configuración.<bR>
- Reparado un problema debido a la forma en que Squid envía las
credenciales de autenticación proxy que bajo ciertas condiciones
puede llegar a enviar el conjunto usuario/clave a una web externa.

Otros cambios:<bR>
- Squid ahora rechaza correctamente cualquier petición que use la
cabecera "transfer-encoding".<bR>
- Cambios menores para dar soporte adecuado a Apple MAC OS X y
plataformas relacionadas.<bR>
- Implementada la opción -T<bR>
- Reparados los problemas relacionados con HTCP en la reconfiguración
del servidor ("squid -k reconfigure")

Es aconsejable actualizarse a la última versión en caso de que estemos
utilizando alguna anterior a la 2.4.STABLE6. La única forma de
comprobar adecuadamente esto es ejecutando el comando: squid -v

Si no es posible la actualización se hace necesario el establecimiento
de listas de acceso bastante restrictivas que no permitan el uso de
FTP o Gopher. Las introduciremos al principio del archivo squid.conf:

acl workaround proto FTP Gopher<bR>
http_access deny workaround



Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=1350


Más Información:


Página oficial de Squid:
http://www.squid-cache.org


Actualización de Squid:
http://www.squid-cache.org/Versions/v2/2.4/


Squid Proxy Cache Security Update Advisory:
http://www.squid-cache.org/Advisories/SQUID-2002_3.txt



Francisco Javier Santos



Hispasec Sistemas | Copyright © 1998-2011