Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de denegación de servicio en Squid Proxy Cache

Vulnerabilidad de denegación de servicio en Squid Proxy Cache

Fecha de publicación: 
12/03/2014
Importancia: 
3 - Media
Recursos afectados: 

Las siguientes versiones de Squid están afectadas:

  • Todas las versiones de Squid-3.1 sin parchear
  • Todas las versiones de Squid-3.2
  • Todas las versiones sin parchear de Squid-3.3 hasta 3.3.11 (incluida)
  • Todas las versiones sin parchear de Squid-3.4 hasta 3.3.3 (incluida)
Descripción: 

Denegación de servicio en Squid Proxy Caché consecuencia de un manejo incorrecto de estados en solicitudes HTTPS

Solución: 

Instalación de parches:

Alternativamente al parcheado/actualización:

  • Deshabilitar SSL-bump para los clientes afectados, añadiendo la regla "ssl_bump none" al comienzo de las directivas de configuración de ssl_bump
  • Ó deshabilitar la funcionalidad SSL-bump, eliminando la opción ssl-bump en todas las directivas http_port y/o https_port
  • Ó usar TCP_RESET en lugar de la páginas de error generadas por Squid. Téngase en cuenta que esta solución es parcial ya que alguna páginas de error no pueden ser evitadas
Detalle: 

La funcionalidad de Squid SSL-bump utilizada en la interceptación de tráfico SSL de conexiones HTTPS, presenta una vulnerabilidad que posibilita a clientes que realicen ciertas consultas HTTPS establecer una denegación de servicio. Existen clientes de software muy populares que hacen uso de este tipo de solicitudes en su operación habitual.