Denegación de servicio en Squid
sábado, 20 de febrero de 2016
Se ha solucionado una vulnerabilidad de denegación de servicio en SQUID versiones 3.5.13 y 4.0.4 a 4.0.5.
Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).
El problema, con CVE-2016-2390, reside en un tratamiento incorrecto de los errores de servidor, lo que permitir condiciones de denegación de servicio cuando Squid se conecta a servidores TLS o SSL.
Los problemas están solucionados en las versiones Squid 3.5.14 y 4.0.6, o se puede también aplicar los parches disponibles desde:
Squid 3.5:
http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13981.patch
Más información:
Squid Proxy Cache Security Update Advisory SQUID-2016:1
Remote Denial of service issue in SSL/TLS processing
http://www.squid-cache.org/Advisories/SQUID-2016_1.txt
Antonio Ropero
Twitter: @aropero
