Het probleem wordt veroorzaakt door een bug in de HTTP Basic-verificatiehandler en zorgt ervoor dat er een bufferoverloop wordt geactiveerd bij het doorgeven van speciaal vervaardigde inloggegevens bij toegang tot Squid Cache
Manager of ingebouwde FTP-gateway. Het beveiligingslek verschijnt vanaf de release van Squid 4.0.23. Als oplossing voor het blokkeren van de kwetsbaarheid kunt u squid opnieuw opbouwen met de optie “--disable-auth-basic” of de toegang uitschakelen tot services die HTTP-authenticatie gebruiken in de configuratie:
acl FTP proto FTP
http_access weigeren FTP
http_access deny-manager
De andere drie kwetsbaarheden kunnen leiden tot Denial of Service bij het manipuleren van cachemgr.cgi, HTTP Digest of HTTP Basic-authenticatie. De resterende kwetsbaarheid maakt cross-site scripting via cachemgr.cgi mogelijk.
Bron: opennet.ru