korekcinis tarpinio serverio atleidimas , kuris ištaisė 5 spragas. Vienas pažeidžiamumas (CVE-2019-12527) potencialiai organizuoti kodo vykdymą su serverio proceso teisėmis.
Problemą sukelia HTTP pagrindinės autentifikavimo tvarkyklės klaida ir leidžia suaktyvinti buferio perpildymą perduodant specialiai sukurtus kredencialus, kai pasiekiate Squid Cache.
Valdytojas arba integruotas FTP šliuzas. Pažeidžiamumas atsiranda nuo 4.0.23 versijos Squid išleidimo. Norėdami blokuoti pažeidžiamumą, galite atkurti kalmarus naudodami parinktį „--disable-auth-basic“ arba išjungti prieigą prie paslaugų, kurios konfigūracijoje naudoja HTTP autentifikavimą:
acl FTP proto FTP
http_access uždrausti FTP
http_prieigos uždraudimo valdytojas
Kiti trys pažeidžiamumai gali lemti paslaugų atsisakymą manipuliuojant cachemgr.cgi, HTTP Digest arba HTTP Basic autentifikavimu. Likęs pažeidžiamumas leidžia kurti scenarijus įvairiose svetainėse per cachemgr.cgi.
Šaltinis: opennet.ru