Chaidh toraidhean sgrùdadh tèarainteachd neo-eisimeileach air an t-seirbheisiche proxy caching fosgailte Squid, a chaidh a dhèanamh ann an 2021, fhoillseachadh. Rè an sgrùdadh air bunait còd a 'phròiseict, chaidh 55 so-leòntachd a chomharrachadh, agus chan eil an luchd-leasachaidh fhathast a' suidheachadh 35 duilgheadasan (0-latha). Chaidh fios a chuir gu luchd-leasachaidh Squid mu na duilgheadasan o chionn dà bhliadhna gu leth, ach cha do chuir iad crìoch air obair gus an càradh. Aig a 'cheann thall, cho-dhùin ùghdar an sgrùdaidh am fiosrachadh fhoillseachadh gun a bhith a' feitheamh ri na duilgheadasan uile a cheartachadh agus chuir e fios gu luchd-leasachaidh Squid mu dheidhinn seo ro-làimh.
Am measg nan so-leòntachd a chaidh a chomharrachadh:
- Bidh stac a’ cur thairis ann am buileachadh Dearbhadh Digest a’ tachairt nuair a thèid bann-cinn HTTP Proxy-Authorization a phròiseasadh le luach achaidh Digest nc ro mhòr.
- A’ faighinn cothrom air cuimhne às deidh dha a bhith air a shaoradh ann am pròiseasar ceist leis an dòigh TRACE.
- Cothrom cuimhne às deidh an saoradh nuair a bhios tu a’ giullachd iarrtasan HTTP le bann-cinn “Range” (CVE-2021-31807).
- Stack thar-shruth nuair a bhios tu a’ giullachd bann-cinn X-Forwarded-For HTTP.
- Stack overflow nuair a thathar a’ làimhseachadh cheistean teann.
- A’ faighinn cothrom air cuimhne às deidh dha a bhith air a shaoradh ann an eadar-aghaidh lìn CacheManager.
- Iomlan a’ cur thairis ann an inneal-làimhseachaidh bann HTTP Range (CVE-2021-31808).
- Ruigsinneachd cuimhne às deidh saoradh agus bufair thar-shruth ann an inneal-làimhseachaidh abairt ESI (Edge Side Includes).
- Iomadh aoidion cuimhne, bufair a’ dol thairis air fhad ‘s a tha iad a’ leughadh, agus duilgheadasan a’ leantainn gu tubaistean.
Source: fosgailtenet.ru
