55 kerentanan parantos diidentifikasi dina server proxy Squid, 35 diantarana henteu acan dibenerkeun.

Hasil audit kaamanan mandiri tina server proxy caching sumber terbuka Squid, anu dilakukeun dina taun 2021, parantos dipedalkeun. Audit basis kode proyék ngaidéntifikasi 55 kerentanan, 35 di antarana ayeuna teu acan ditambal ku pamekar (masalah zero-day). Pamekar Squid dibéjaan ngeunaan masalah éta dua satengah taun ka pengker, tapi aranjeunna henteu pernah ngarengsekeun perbaikanana. Pamustunganana, panulis audit mutuskeun pikeun ngungkabkeun inpormasi sateuacan sadaya masalah dibenerkeun, ngabéjaan pamekar Squid sateuacanna.

Diantara kerentanan anu diidentifikasi:

  • Overflow stack dina palaksanaan auténtikasi hash (Digest Authentication) lumangsung nalika ngolah header HTTP Proxy-Authorization kalayan nilai kolom "Digest nc" anu kaleuleuwihi ageung.
  • Ngaksés mémori saatos dibébaskeun dina pangendali pamundut nganggo metode TRACE.
  • Kerentanan Use-after-free dina pamundut HTTP nganggo header Range (CVE-2021-31807).
  • Aya limpahan tumpukan nalika ngolah header HTTP X-Forwarded-For.
  • Tumpukan limpahan nalika ngolah pamundut anu dipotong-potong.
  • Ngaksés mémori saatos dibébaskeun dina antarmuka wéb CacheManager.
  • Limpahan integer dina pangendali lulugu HTTP Range (CVE-2021-31808).
  • Nahan saatos aya limpahan bébas sareng buffer dina prosesor éksprési ESI (Edge Side Includes).
  • Sababaraha bocor mémori, buffer overruns dina bacaan, sareng masalah kacilakaan.

sumber: opennet.ru

Mésér hosting anu dipercaya pikeun situs anu gaduh panyalindungan DDoS, server VPS VDS 🔥 Meser hosting situs wéb anu tiasa dipercaya nganggo panyalindungan DDoS, server VPS VDS | ProHoster