Múltiples vulnerabilidades en Squid Proxy Cache
Las versiones afectadas son:
- Todas las versiones Squid 2.x
- Squid 3.x hasta 3.5.16
- Squid 4.x hasta 4.0.8
Vulnerabilidades de desbordamiento de búfer y validación incorrecta de entrada posibilitarían la ejecución de código de forma remota, fuga de información y podrían provocar denegación de servicio en el proxy Squid.
Actualizar a las versiones Squid 3.5.17 o Squid 4.0.9.
Alternativamente, y en caso de no ser posible aplicar las actualizaciones, se puede optar por recompilar el software con la opción --disable-esi y utilizar herramientas CGI alternativas a cachemgr.cgi como squidclient. Para ampliar información consultar los enlaces proporcionados en la sección "Referencias".
Las vulnerabilidades son las siguientes:
Vulnerabilidades en el procesamiento de solicitudes ESI: fallos en la validación de peticiones ESI y problemas de desbordamiento de búfer posibilitarían la fuga de información de memoria del servidor, así como la ejecución de código de forma remota. Se han reservado los identificadores CVE-2016-4052, CVE-2016-4053, CVE-2016-4054.
Desbordamiento de búfer en cachemgr.cgi: un manejo incorrecto del búfer de memoria en componente cachemgr.cgi provocaría un fallo de desbordamiento de búfer cuando procesa peticiones remotas enviadas desde Squid. Se ha reservado el identificador CVE-2016-4051 para esta vulnerabilidad.