korektīva starpniekservera atbrīvošana , kurā tika novērstas 5 ievainojamības. Viena ievainojamība (CVE-2019-12527) potenciāli organizēt koda izpildi ar servera procesa tiesībām.
Problēmu izraisa kļūda HTTP Basic autentifikācijas apdarinātājā, un tā ļauj aktivizēt bufera pārplūdi, nododot īpaši izstrādātus akreditācijas datus, piekļūstot Squid Cache.
Pārvaldnieks vai iebūvēta FTP vārteja. Ievainojamība parādās, sākot ar Squid 4.0.23 izlaišanu. Kā risinājumu ievainojamības bloķēšanai varat atjaunot kalmāru ar opciju “--disable-auth-basic” vai atspējot piekļuvi pakalpojumiem, kuru konfigurācijā tiek izmantota HTTP autentifikācija:
acl FTP proto FTP
http_piekļuves aizliegums FTP
http_piekļuves aizliegums pārvaldniekam
Pārējās trīs ievainojamības var izraisīt pakalpojuma atteikumu, manipulējot ar cachemgr.cgi, HTTP Digest vai HTTP Basic autentifikāciju. Atlikusī ievainojamība pieļauj starpvietņu skriptēšanu, izmantojot cachemgr.cgi.
Avots: opennet.ru