informācija par starpniekservera ievainojamībām , kas pagājušajā gadā tika klusi likvidēti, izlaižot Squid 4.8. Problēmas ir kodā, lai apstrādātu bloku “@” URL sākumā (“user@host”), un tas ļauj apiet piekļuves ierobežošanas noteikumus, saindēt kešatmiņas saturu un veikt starpvietņu darbību. skriptu uzbrukums.
- — klients, izmantojot īpaši izstrādātu URL, var apiet noteikumus, kas norādīti, izmantojot direktīvu url_regex, un iegūt konfidenciālu informāciju par starpniekserveri un apstrādāto trafiku (piekļuve kešatmiņas pārvaldnieka saskarnei).
- — manipulējot ar lietotājvārda datiem URL, jūs varat panākt konkrētas lapas fiktīva satura uzglabāšanu kešatmiņā, ko, piemēram, var izmantot, lai organizētu sava JavaScript koda izpildi citu vietņu kontekstā.
Avots: opennet.ru