Множественные уязвимости в Squid

Squid - бесплатный прокси сервер для Unix и Linux платформ с поддержкой аутентификации.

1. В случае, когда Squid требует идентификации, но некоторые сайты могут посещаться свободно, HTTP заголовок Authorization может быть отправлен дополнительному серверу, в результате чего удаленный сервер может раскрыть информацию авторизации.

2. Годное для удаленного использования переполнение буфера обнаружено в компоненте Squid MSNT auth helper. Переполнение происходит
тогда, когда MSNT_auth использует файлы управления доступом denyusers или allowusers. Уязвимость может использоваться для выполнения произвольного кода.

3. Несколько удаленных переполнений буфера обнаружено в процессе обработки содержания FTP директорий в FTP proxy запросах. Уязвимость может использоваться для выполнения произвольного кода с привилегиями Squid процесса.

4. Несколько уязвимостей обнаружено при обработке gopher запросов. Попытка обработать длинный gopher URL может привести к переполнению буфера и потенциальному выполнению произвольного кода.

Уязвимость обнаружена в Squid Web Proxy 2.0-2.4 STABLE6.

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.