rilascio di delega correttiva , che ha risolto 5 vulnerabilità. Una vulnerabilità (CVE-2019-12527) potenzialmente organizzare l'esecuzione del codice con i diritti del processo server.
Il problema è causato da un bug nel gestore dell'autenticazione HTTP Basic e consente l'attivazione di un overflow del buffer quando si passano credenziali appositamente predisposte durante l'accesso alla Squid Cache
Manager o gateway FTP integrato. La vulnerabilità appare a partire dal rilascio di Squid 4.0.23. Come soluzione alternativa per bloccare la vulnerabilità, puoi ricostruire squid con l'opzione “--disable-auth-basic” o disabilitare l'accesso ai servizi che utilizzano l'autenticazione HTTP nella configurazione:
acl FTP proto FTP
http_accesso negato FTP
http_access nega il gestore
Le altre tre vulnerabilità possono portare alla negazione del servizio durante la manipolazione di cachemgr.cgi, HTTP Digest o HTTP Basic. La restante vulnerabilità consente lo scripting cross-site tramite cachemgr.cgi.
Fonte: opennet.ru