गंभीर असुरक्षा दूर करून स्क्विड 4.8 प्रॉक्सी सर्व्हरचे प्रकाशन

प्रकाशित सुधारात्मक प्रॉक्सी प्रकाशन स्क्विड 4.8, ज्याने 5 असुरक्षा निश्चित केल्या आहेत. एक भेद्यता (CVE-2019-12527) तो संमत सर्व्हर प्रक्रियेच्या अधिकारांसह संभाव्यपणे कोड अंमलबजावणी आयोजित करा.

एचटीटीपी बेसिक ऑथेंटिकेशन हँडलरमधील बगमुळे ही समस्या उद्भवली आहे आणि स्क्विड कॅशेमध्ये प्रवेश करताना विशेष तयार केलेली क्रेडेन्शियल्स पास करताना बफर ओव्हरफ्लो ट्रिगर होण्यास अनुमती देते.
व्यवस्थापक किंवा अंगभूत FTP गेटवे. Squid 4.0.23 च्या रिलीझपासून असुरक्षा दिसून येते. भेद्यता अवरोधित करण्यासाठी एक उपाय म्हणून, तुम्ही “--disable-auth-basic” पर्यायासह स्क्विड पुन्हा तयार करू शकता किंवा कॉन्फिगरेशनमध्ये HTTP प्रमाणीकरण वापरणाऱ्या सेवांचा प्रवेश अक्षम करू शकता:

acl FTP प्रोटो FTP
http_access FTP नाकारतो
http_access व्यवस्थापकास नकार द्या

cachemgr.cgi, HTTP डायजेस्ट किंवा HTTP बेसिक ऑथेंटिकेशन हाताळताना इतर तीन असुरक्षा सेवा नाकारू शकतात. उर्वरित भेद्यता cachemgr.cgi द्वारे क्रॉस-साइट स्क्रिप्टिंगला अनुमती देते.

स्त्रोत: opennet.ru