información sobre vulnerabilidades no servidor proxy , que foron eliminados silenciosamente o ano pasado no lanzamento de Squid 4.8. Os problemas están presentes no código para procesar o bloque "@" ao comezo do URL ("usuario@host") e permítenche ignorar as regras de restrición de acceso, envelenar o contido da caché e realizar un cross-site. ataque de scripting.
- — un cliente, utilizando un URL especialmente deseñado, pode ignorar as regras especificadas mediante a directiva url_regex e obter información confidencial sobre o proxy e o tráfico procesado (obtén acceso á interface do xestor de caché).
- — Ao manipular os datos do nome de usuario na URL, pode conseguir o almacenamento de contido ficticio para unha páxina específica na caché, que, por exemplo, se pode usar para organizar a execución do seu código JavaScript no contexto doutros sitios.
Fonte: opennet.ru