korekta prokura liberigo , kiu riparis 5 vundeblecojn. Unu vundebleco (CVE-2019-12527) eble organizi kodan ekzekuton kun la rajtoj de la servila procezo.
La problemo estas kaŭzita de cimo en la HTTP Baza aŭtentikiga prizorganto kaj ebligas ekfunkciigi bufran superfluon kiam oni pasas speciale kreitajn akreditaĵojn kiam oni aliras Squid Cache.
Administranto aŭ enkonstruita FTP-enirejo. La vundebleco aperas ekde la liberigo de Squid 4.0.23. Kiel solvo por bloki la vundeblecon, vi povas rekonstrui kalmarojn per la opcio "--disable-auth-basic" aŭ malŝalti aliron al servoj, kiuj uzas HTTP-aŭtentikigon en la agordo:
akl FTP pra FTP
http_aliro rifuzi FTP
http_access deni administranto
La aliaj tri vundeblecoj povas konduki al neo de servo dum manipulado de cachemgr.cgi, HTTP Digest aŭ HTTP Basic-aŭtentikigo. La restanta vundebleco permesas transretejan skribadon per cachemgr.cgi.
fonto: opennet.ru