int(1566)

Boletines de Vulnerabilidades

Vulnerabilidad en el manejo de ACLs en Squid

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricant afectat GNU/Linux
Software afectado Squid <=2.5

Descripción
Se ha descubierto una vulnerabilidad en la versión 2.5 y anteriores de Squid. La vulnerabilidad reside en que Squid no genera un error fatal cuando detecta ACLs inválidas en la configuración http_access.

Esta vulnerabilidad podría provocar que Squid arranque con unas ACLs menos restrictivas que las pretendidas por el administrador.

Solución
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo.


Squid
Squid 2.5.STABLE9 - Parche
http://www.squid-cache.org/Versions/v2/2.5/bugs/squid-2.5.STABLE9-acl_error.patch

Debian Linux

Debian Linux 3.0
Source
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8.dsc
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8.diff.gz
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6.orig.tar.gz
Alpha
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8_alpha.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody8_alpha.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody8_alpha.deb
ARM
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8_arm.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody8_arm.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody8_arm.deb
Intel IA-32
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8_i386.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody8_i386.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody8_i386.deb
Intel IA-64
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8_ia64.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody8_ia64.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody8_ia64.deb
HP Precision
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8_hppa.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody8_hppa.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody8_hppa.deb
Motorola 680x0
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8_m68k.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody8_m68k.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody8_m68k.deb
Big endian MIPS
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8_mips.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody8_mips.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody8_mips.deb
Little endian MIPS
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8_mipsel.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody8_mipsel.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody8_mipsel.deb
PowerPC
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8_powerpc.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody8_powerpc.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody8_powerpc.deb
IBM S/390
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8_s390.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody8_s390.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody8_s390.deb
Sun Sparc
http://security.debian.org/pool/updates/main/s/squid/squid_2.4.6-2woody8_sparc.deb
http://security.debian.org/pool/updates/main/s/squid/squid-cgi_2.4.6-2woody8_sparc.deb
http://security.debian.org/pool/updates/main/s/squid/squidclient_2.4.6-2woody8_sparc.deb

Red Hat Linux
Red Hat Desktop (v. 3)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 3)
Red Hat Enterprise Linux WS (v. 4)
https://rhn.redhat.com/

Identificadores estándar
Propiedad Valor
CVE CAN-2005-1345
BID

Recursos adicionales
Squid 2.5.STABLE9 Patches
http://www.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE9-acl_error

Debian Security Advisory DSA-721
http://www.debian.org/security/2005/dsa-721

Red Hat Security Advisory RHSA-2005:415-16
https://rhn.redhat.com/errata/RHSA-2005-415.html

Histórico de versiones
Versión Comentario Data
1.0 Aviso emitido 2005-05-09
1.1 Aviso emitido por Red Hat (RHSA-2005:415-16) 2005-06-15
Ministerio de Defensa
CNI
CCN
CCN-CERT