Vulnerabilidad de denegación de servicio en Squid Proxy Cache
Fecha de publicación:
12/03/2014
Importancia:
3 -
Media
Recursos afectados:
Las siguientes versiones de Squid están afectadas:
- Todas las versiones de Squid-3.1 sin parchear
- Todas las versiones de Squid-3.2
- Todas las versiones sin parchear de Squid-3.3 hasta 3.3.11 (incluida)
- Todas las versiones sin parchear de Squid-3.4 hasta 3.3.3 (incluida)
Descripción:
Denegación de servicio en Squid Proxy Caché consecuencia de un manejo incorrecto de estados en solicitudes HTTPS
Solución:
Instalación de parches:
- Squid 3.3: squid-3.3-12677.patch
- Squid 3.4: squid-3.4-13104.patch
- Si utiliza versión instalada desde un paquete de software, consulte la información de actualizaciones del fabricante
Alternativamente al parcheado/actualización:
- Deshabilitar SSL-bump para los clientes afectados, añadiendo la regla "ssl_bump none" al comienzo de las directivas de configuración de ssl_bump
- Ó deshabilitar la funcionalidad SSL-bump, eliminando la opción ssl-bump en todas las directivas http_port y/o https_port
- Ó usar TCP_RESET en lugar de la páginas de error generadas por Squid. Téngase en cuenta que esta solución es parcial ya que alguna páginas de error no pueden ser evitadas
Detalle:
La funcionalidad de Squid SSL-bump utilizada en la interceptación de tráfico SSL de conexiones HTTPS, presenta una vulnerabilidad que posibilita a clientes que realicen ciertas consultas HTTPS establecer una denegación de servicio. Existen clientes de software muy populares que hacen uso de este tipo de solicitudes en su operación habitual.
Etiquetas: