దిద్దుబాటు ప్రాక్సీ విడుదల , ఇది 5 దుర్బలత్వాలను పరిష్కరించింది. ఒక దుర్బలత్వం (CVE-2019-12527) సర్వర్ ప్రక్రియ యొక్క హక్కులతో కోడ్ అమలును సమర్థవంతంగా నిర్వహించవచ్చు.
HTTP బేసిక్ అథెంటికేషన్ హ్యాండ్లర్లోని బగ్ కారణంగా ఈ సమస్య ఏర్పడింది మరియు స్క్విడ్ కాష్ని యాక్సెస్ చేసేటప్పుడు ప్రత్యేకంగా రూపొందించిన ఆధారాలను పాస్ చేసేటప్పుడు బఫర్ ఓవర్ఫ్లో ట్రిగ్గర్ చేయబడటానికి అనుమతిస్తుంది
మేనేజర్ లేదా అంతర్నిర్మిత FTP గేట్వే. స్క్విడ్ 4.0.23 విడుదలతో దుర్బలత్వం కనిపిస్తుంది. దుర్బలత్వాన్ని నిరోధించడానికి ప్రత్యామ్నాయంగా, మీరు “--disable-auth-basic” ఎంపికతో స్క్విడ్ను పునర్నిర్మించవచ్చు లేదా కాన్ఫిగరేషన్లో HTTP ప్రమాణీకరణను ఉపయోగించే సేవలకు ప్రాప్యతను నిలిపివేయవచ్చు:
acl FTP ప్రోటో FTP
http_access FTPని తిరస్కరించింది
http_access నిరాకరణ మేనేజర్
ఇతర మూడు దుర్బలత్వాలు cachemgr.cgi, HTTP డైజెస్ట్ లేదా HTTP ప్రాథమిక ప్రమాణీకరణను మార్చేటప్పుడు సేవ యొక్క తిరస్కరణకు దారితీయవచ్చు. మిగిలిన దుర్బలత్వం cachemgr.cgi ద్వారా క్రాస్-సైట్ స్క్రిప్టింగ్ను అనుమతిస్తుంది.
మూలం: opennet.ru