Korrektur-Proxy-Release , wodurch 5 Schwachstellen behoben wurden. Eine Sicherheitslücke (CVE-2019-12527) möglicherweise die Codeausführung mit den Rechten des Serverprozesses organisieren.
Das Problem wird durch einen Fehler im HTTP-Basic-Authentifizierungshandler verursacht und ermöglicht die Auslösung eines Pufferüberlaufs, wenn beim Zugriff auf Squid Cache speziell gestaltete Anmeldeinformationen übergeben werden
Manager oder integriertes FTP-Gateway. Die Sicherheitslücke tritt ab der Veröffentlichung von Squid 4.0.23 auf. Als Workaround zum Blockieren der Schwachstelle können Sie Squid mit der Option „--disable-auth-basic“ neu erstellen oder den Zugriff auf Dienste, die HTTP-Authentifizierung verwenden, in der Konfiguration deaktivieren:
acl FTP proto FTP
http_access verweigert FTP
http_access-Verweigerungsmanager
Die anderen drei Schwachstellen können bei der Manipulation von cachemgr.cgi, HTTP Digest oder HTTP Basic-Authentifizierung zu einem Denial of Service führen. Die verbleibende Schwachstelle ermöglicht Cross-Site-Scripting über cachemgr.cgi.
Source: opennet.ru