Sự cố xảy ra do lỗi trong trình xử lý xác thực HTTP Basic và cho phép kích hoạt tràn bộ đệm khi chuyển thông tin xác thực được tạo đặc biệt khi truy cập Squid Cache
Trình quản lý hoặc cổng FTP tích hợp. Lỗ hổng xuất hiện bắt đầu từ việc phát hành Squid 4.0.23. Để giải quyết vấn đề ngăn chặn lỗ hổng bảo mật, bạn có thể xây dựng lại mực bằng tùy chọn “--disable-auth-basic” hoặc vô hiệu hóa quyền truy cập vào các dịch vụ sử dụng xác thực HTTP trong cấu hình:
acl FTP nguyên mẫu FTP
http_access từ chối FTP
người quản lý từ chối http_access
Ba lỗ hổng còn lại có thể dẫn đến việc từ chối dịch vụ khi thao tác với cachemgr.cgi, HTTP Digest hoặc xác thực HTTP Basic. Lỗ hổng còn lại cho phép tạo tập lệnh chéo trang thông qua cachemgr.cgi.
Nguồn: opennet.ru