ProHoster > Blogi > internetiuudised > Squidi puhverserveri haavatavus, mis võimaldab juurdepääsupiirangutest mööda minna
Squidi puhverserveri haavatavus, mis võimaldab juurdepääsupiirangutest mööda minna
Ilmnes teave puhverserveri haavatavuste kohta kalmaar, mis eelmisel aastal Squid 4.8 väljalaskes vaikselt elimineeriti. Probleemid esinevad URL-i alguses oleva @-ploki töötlemise koodis (“user@host”) ja need võimaldavad teil juurdepääsupiirangu reeglitest mööda minna, vahemälu sisu mürgitada ja saidiülest läbi viia. skriptimisrünnak.
CVE-2019-12524 — klient saab spetsiaalselt loodud URL-i kasutades mööda minna direktiivi url_regex abil määratud reeglitest ja hankida konfidentsiaalset teavet puhverserveri ja töödeldud liikluse kohta (juurdepääs vahemäluhalduri liidesele).
CVE-2019-12520 — URL-is kasutajanime andmetega manipuleerides saate saavutada vahemällu konkreetse lehe fiktiivse sisu salvestamise, mida saab näiteks kasutada JavaScripti koodi täitmise korraldamiseks teiste saitide kontekstis.