Chyba zabezpečení v proxy serveru Squid, která vám umožňuje obejít omezení přístupu
Odhaleno informace o zranitelnostech v proxy serveru Oliheň, které byly potichu odstraněny minulý rok ve vydání Squid 4.8. Problémy se vyskytují v kódu pro zpracování bloku „@“ na začátku adresy URL („uživatel@hostitel“) a umožňují vám obejít pravidla omezení přístupu, otrávit obsah mezipaměti a provést křížovou kontrolu skriptovací útok.
CVE-2019-12524 — klient může pomocí speciálně navržené adresy URL obejít pravidla zadaná pomocí direktivy url_regex a získat důvěrné informace o proxy a zpracovávaném provozu (získat přístup k rozhraní Cache Manager).
CVE-2019-12520 — manipulací s údaji o uživatelském jménu v URL můžete dosáhnout uložení fiktivního obsahu pro konkrétní stránku do mezipaměti, což lze například použít k organizaci spouštění vašeho kódu JavaScript v kontextu jiných stránek.