Inicio / Alerta Temprana / Avisos Seguridad / Denegación de servicio en Gopher Processing de Squid

Denegación de servicio en Gopher Processing de Squid

Fecha de publicación: 
20/06/2022
Identificador: 
INCIBE-2022-0801
Importancia: 
5 - Crítica
Recursos afectados: 
  • Squid-3.x, versiones 3.5.28 y anteriores;
  • Squid-4.x, versiones 4.17 y anteriores;
  • Squid-5.x, versiones 5.5 y anteriores.
Descripción: 

Se ha publicado una vulnerabilidad en Squid que podría permitir que un servidor remoto realice una denegación de servicio, al procesar las respuestas de Gopher.

Solución: 

Actualizar a Squid, versión 5.6.

Como medida de mitigación, también es posible denegar el acceso a los recursos de gopher:// añadiendo las siguientes líneas al principio del fichero squid.conf:

acl gopher proto gopher
http_access deny gopher
Detalle: 

Debido a una gestión inadecuada del búfer, Squid es vulnerable a un ataque de denegación de servicio al procesar las respuestas del servidor Gopher. Se ha asignado el identificador CVE-2021-46784 para esta vulnerabilidad.

Encuesta valoración