ուղղիչ վստահված անձի թողարկում , որը ֆիքսել է 5 խոցելիություն։ Մեկ խոցելիություն (CVE-2019-12527) հնարավոր է կազմակերպել կոդի կատարումը սերվերի գործընթացի իրավունքներով:
Խնդիրն առաջացել է HTTP Basic նույնականացման կարգավորիչի սխալի պատճառով և թույլ է տալիս բուֆերային արտահոսք գործարկել Squid Cache-ին մուտք գործելու ժամանակ հատուկ ստեղծված հավատարմագրերը փոխանցելիս:
Կառավարիչ կամ ներկառուցված FTP դարպաս: Խոցելիությունը հայտնվում է Squid 4.0.23-ի թողարկումից սկսած: Որպես խոցելիությունը արգելափակելու միջոց՝ դուք կարող եք վերակառուցել կաղամարը «--disable-auth-basic» տարբերակով կամ անջատել մուտքը ծառայություններ, որոնք օգտագործում են HTTP նույնականացում կազմաձևում.
acl FTP պրոտո FTP
http_access մերժել FTP
http_access մերժման կառավարիչ
Մնացած երեք խոցելիությունները կարող են հանգեցնել ծառայության մերժման՝ cachemgr.cgi-ի, HTTP Digest-ի կամ HTTP Basic նույնականացման մանիպուլյացիայի ժամանակ: Մնացած խոցելիությունը թույլ է տալիս խաչաձև սկրիպտավորում cachemgr.cgi-ի միջոցով:
Source: opennet.ru