Inicio / Alerta Temprana / Avisos Seguridad / Validación incorrecta de certificados en proxy Squid

Validación incorrecta de certificados en proxy Squid

Fecha de publicación: 
04/05/2015
Importancia: 
4 - Alta
Recursos afectados: 

Las siguientes versiones de Squid están afectadas:

  • Squid versiones 3.2.x hasta 3.2.13.
  • Squid versiones 3.3.x hasta 3.3.13.
  • Squid versiones 3.4.x hasta 3.4.12.
  • Squid versiones 3.5.x hasta 3.5.3.
Descripción: 

Una vulnerabilidad en módulo ssl_bump de Squid permite al servidor evitar la validación cliente del certificado.

Solución: 

Utilizar versiones no vulnerables de Squid: 3.5.4, 3.4.13, 3.3.14 o 3.2.14.

En caso de utilizar una versión vulnerable, aplicar el parche correspondiente a la misma:

Detalle: 

Debido a una incorrecta verificación de los campos hostname/domain de un certificado X509, un servidor remoto puede evitar la validación del certificado del cliente. Adicionalmente, un servidor podría utilizar un certificado válido firmado por una Autoridad Certificadora para dominios no relacionados.

La vulnerabilidad afecta a las configuraciones de Squid con ssl_bump habilitado en modo "client-first" o "bump".

Etiquetas: