You are hereРазработано обновление, спасающее от опасной уязвимости в Squid / Ответить на комментарий
Ответить на комментарий
Разработано обновление, спасающее от опасной уязвимости в Squid
Создатели прокси-сервера Squid разработали обновление для безопасности, которое закрывает уязвимость, которая находится в коде обработки Gopher-запросов. Взпомним, что Gopher - предшественник World Wide Web, и в сегодняшнее время очень редко используется.
Если Gopher возвращал строку, длина которой более 4096 символов, то это приводило к переполнению буфера в Squid. Разработчики рассказали, что это вызывает отказ в обслуживании. Но они не сообщили, можно ли, эксплуатируя данную уязвимость, выполнить некий произвольный код на целевой системе. Нужно отметить, что обычно такие бреши допускают возможность инъекций и выполнения произвольных кодов.
Разработчики говорят, что все версии сервера Squid до 3.0.STABLE26 и 3.1.15 имеют эту уязвимость. Уже появилось обновление, которое исправляет названные дефекты. Как меры предосторожности, если нет возможности установить обновление, разработчики советуют закрыть доступ к Gopher URL при помощи ACL.