Cabecera-v2-web.jpg

Solucionadas dos vulnerabilidades en Squid


Se han solucionado dos vulnerabilidades en SQUID versiones 3x y 4.x que podrí­an permitir a atacantes remotos conseguir información sensible del sistema atacado.

Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).

El primer problema, con CVE-2016-10003, se debe a una comparación incorrecta de las cabeceras de las peticiones, Squid puede devolver respuestas que contengan datos privados a clientes a los que no deberí­a llegar. Por otra parte, con CVE-2016-10002, otra vulnerabilidad debida a la manipulación incorrecta de petición condicional HTTP, de forma similar Squid puede devolver respuestas que contengan datos privados a clientes


Ambos problemas afectan a versiones Squid 3.5 a 3.5.22 y Squid 4.0 a 4.0.16. Los problemas están solucionados en las versiones Squid 3.5.23 y 4.0.17, o se puede también aplicar los parches disponibles desde las alertas publicadas.


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11