Rezilta yo nan yon kontwòl kontab sekirite endepandan nan Squid sèvè proxy kachèt louvri, ki te fèt an 2021, yo te pibliye. Pandan enspeksyon an nan baz kòd pwojè a, 55 vilnerabilite yo te idantifye, nan yo ki 35 pwoblèm yo poko te fiks pa devlopè yo (0-jou). Devlopè yo Squid yo te avize sou pwoblèm yo de ane edmi de sa, men pa janm fini travay yo ranje yo. Finalman, otè kontwòl kontab la deside divilge enfòmasyon an san yo pa tann pou tout pwoblèm yo dwe korije epi avèti devlopè Squid yo sou sa davans.
Pami vilnerabilite yo idantifye:
- Yon pil debòde nan aplikasyon Digest Otantifikasyon an rive lè yo trete header HTTP Proxy-Otorizasyon ak valè jaden Digest nc a twò gwo.
- Aksè memwa apre li fin libere nan yon processeur rechèch ak metòd TRACE.
- Aksè memwa apre yo fin libere lè w ap trete demann HTTP ak yon header "Range" (CVE-2021-31807).
- Stack debòde lè w ap trete header X-Forwarded-For HTTP la.
- Pile debòde lè w ap trete demann ki an fragman.
- Aksè memwa apre li fin libere nan koòdone wèb CacheManager la.
- Debòde nonb antye relatif nan jeran antèt HTTP Range (CVE-2021-31808).
- Aksè memwa apre yo fin libere ak tanpon debòde nan moun kap okipe ekspresyon ESI (Edge Side Includes).
- Anpil fwit memwa, depase tanpon lè lekti, ak pwoblèm ki mennen nan aksidan.
Sous: opennet.ru
