Thema: Schwachstellen in Web-Proxy Squid

[SiLæncer]

Die Entwickler des HTTP-Proxy Squid haben einen Patch für Version 2.5 veröffentlicht, der eine Schwachstelle beim Parsen von HTTP-Headern beseitigt. Ein Angreifer kann mit dem Senden mehrerer Content-Length-Header in Kombination mit bestimmten Anfragen den Cache des Proxy durcheinander bringen. Anwender bekommen dann unter Umständen falsche Seiten vom Proxy ausgeliefert. Nährere Angaben machen die Entwickler nicht. Als Workaround soll das Deaktivieren persistenter Verbindungen helfen.

Zudem gibt es einen Patch, um eine Schwachstelle in WCCP, dem Web Cache Communication Protocol, zu schließen. Bestimmte Pakete bringen den Cache zum Absturz. Standardmäßig ist WCCP deaktiviert. Auch der Gopher-Proxy enhält einen Fehler. Zu lange Antworten eines Gopher-Servers verursachen einen Buffer Overflow. Ob dies zum Absturz des Moduls führt oder auch zum Einschleusen von Code geeignet ist, geben die Entwickler nicht an, ein Patch stopft aber die Lücke. Da der schon ziemlich betagte Informationsdienst Gopher so gut wie nicht mehr benutzt wird, empfehlen die Entwickler als Workaround die Verbindung zu solchen Servern zu unterbinden.

Quelle und Links : http://www.heise.de/newsticker/meldung/55549

[SiLæncer]

Der weit verbreitete und quelloffene Webproxy Squid kann durch manipulierte Pakete zum Abstürzen gebracht werden. Die Funktion sslConnectTimeout() in der Datei ssl.c überprüft bestimmte Anfragen nicht korrekt, was zu einem Segmentation Fault durch speziell zusammengesetzte Pakete führen kann.

Unklar ist derzeit, ob die manipulierten Pakete aus dem LAN oder aus dem Internet stammen müssen. Ebenfalls ungeklärt bleibt, ob eine bestehende ssl-Verbindung nötig ist oder auch Anfragen ohne derartigen Kontext zu diesem Problem führen.

Der Webcache-Dienst ist in den 2.5er-Versionen verwundbar. Die Programmierer liefern einen Patch, der diese Lücke schließt.

Quelle und Links : http://www.heise.de/security/news/meldung/63585

[SiLæncer]

Der WWW- und FTP-Proxy Squid stolpert bei der Verarbeitung von manipulierten FTP-Anfragen. So ist es einem Angreifer mit Zugriff auf den Dienst übers Netz möglich, den FTP-Teil des Proxies lahmzulegen. Betroffen ist die aktuelle Versionen 2.5. Ein Patch ist im Bug-Report ebenfalls verlinkt.

Quelle und Links : http://www.heise.de/security/news/meldung/65193

[SiLæncer]

Version 2.6.STABLE7 des populären Web Proxy Cache Squid behebt unter anderem zwei Schwachstellen, die sich für Denial-of-Service-Angriffe ausnutzen ließen. Der Aufruf bestimmter FTP-URLs führt zu einer Speicherverletzung, in deren Folge der Proxy abstürzt. Des Weiteren kommt der Proxy in der neuen Version nicht mehr bei zu langen External-ACL-Queues aus dem Tritt. Mit der Option external_acl lassen sich unter Squid beispielsweise Authentifizierungsschnittstellen etwa für NT-Domänen implementieren.

Zudem löscht der Squid seine Prozess-ID nun ordnungsgemäß, sodass das Shutdown-Skript nicht mehr hängenbleiben kann. Schließlich funktioniert nun auch die Beschränkung der maximalen IP-bezogenen Verbindungen, wenn zur Authentifizierung NTLM verwendet wird. Vorher war es laut Fehlerbericht möglich, mit einem Account von beliebig vielen Rechnern eine Verbindung aufzubauen.

Siehe dazu auch:

    * Changelog zur Version Stable7, Bericht auf Squid-Cache.org

Quelle und Links : http://www.heise.de/newsticker/meldung/83818

[SiLæncer]

Präparierte DNS-Pakete können den populären Webproxy/Cache Squid  aus dem Tritt bringen, sodass dieser für kurze Zeit nicht mehr reagiert. Ursache des Problems ist die ungenügende Prüfung von DNS-Antworten an Squid, der diese zunächst in einer Queue einsortiert. Mit Paketen, die nur einen Header enthalten, lässt sich die Queue (über-)füllen, was sich offenbar für Denial-of-Service-Angriffe missbrauchen lässt.

Der Fehler lässt sich sowohl von internen Clients als auch von externen DNS-Servern ausnutzen. Das Problem ist bereits seit dem vergangenen Chaos Communication Congress (26c3) bekannt, auf der
Fabian Yamaguchi diesen und weitere Fehler in anderen Anwendungen in seinem Vortrag "cat /proc/sys//net//ipv4//fuckups" (PDF) detailliert beschrieb.

Betroffen sind die Squid-Versionen 2.x, 3.0 bis einschließlich 3.0.STABLE21, sowie Squid 3.1 bis einschließlich 3.1.0.15. In den Versionen Squid 3.0.STABLE22 und 3.1.0.16 ist der Fehler behoben. Zusätzlich steht ein Patch bereit.

Quelle : www.heise.de