🥇Уязвимость в прокси-сервере Squid, позволяющая обойти ограничения доступа

ເປີດເຜີຍ сведения об уязвимостях в прокси-сервере squid, которые без лишней огласки были устранены ещё в прошлом году в выпуске Squid 4.8. Проблемы присутствуют в коде обработки блока «@» в начале URL («user@host») и позволяют обойти правила ограничения доступа, отравить содержимое кэша и совершать атаку с использованием межсайтового скриптинга.

CVE-2019-12524 — клиент при помощи специально оформленного URL может обойти правила, заданные при помощи директивы url_regex, и получить конфиденциальные сведения о прокси и обрабатываемом трафике (получить доступ к интерфейсу Cache Manager).
CVE-2019-12520 — через манипуляцию с данными об имени пользователя в URL можно добиться сохранения в кэше фиктивного содержимого для определённой страницы, что например, может использоваться для организации выполнения своего JavaScript-кода в контексте других сайтов.

ແຫຼ່ງຂໍ້ມູນ: opennet.ru

ຊ່ອງໂຫວ່ຢູ່ໃນເຊີບເວີພຣັອກຊີ Squid ທີ່ອະນຸຍາດໃຫ້ທ່ານຂ້າມຂໍ້ຈໍາກັດການເຂົ້າເຖິງ

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ