Múltiples vulnerabilidades en Squid Proxy.

TEAM CSIRT

Squid es un servidor proxy para web con caché que proporciona el servicio de proxy que soporta peticiones HTTP, HTTPS y FTP a equipos que necesitan acceder a Internet y a su vez provee la funcionalidad de caché especializado en el cual almacena de forma local las páginas consultadas recientemente por los usuarios. De esta forma, incrementa la rapidez de acceso a los servidores de información web y FTP que se encuentran fuera de la red interna.

A principios del mes de noviembre Squid publicó en su boletín de seguridad múltiples vulnerabilidades entre las que se encuentra un buffer overflow que permitiría ejecutar código remoto (CVE-2019-12526).

– CVE-2019-12526: esta vulnerabilidad permite a un atacante remoto escribir grandes cantidades de datos arbitrarios en la pila, lo que puede llevar a una ejecución de código remoto. En sistemas con protección de acceso a la memoria, la explotación de este fallo mataría el proceso de Squidgenerando una denegación de servicio para todos los usuarios que están utilizando el proxy.
Versiones vulnerables:

  • Squid-3.x hasta 3.5.28 inclusive
  • Squid-4.x hasta 4.8 inclusive

-CVE-2019-18679: debido a un error en la gestión de datos, Squid puede exponer información al procesar la autenticación HTTP que debilita la protección ASLR, ya que muestra un token Nonce. Estos tokens contienen el valor de un puntero que puede ayudar al atacante a aislar áreas de memoria para implementar ataques de ejecución remota de código.
Versiones vulnerables:

  • Squid-2.x hasta 2.7.STABLE9 inclusive
  • Squid-3.x hasta 3.5.28 inclusive
  • Squid-4.x hasta 4.8 inclusive

-CVE-2019-18678: Squid es propenso a HTTP response splitting y se debe al análisis incorrecto de mensajes. Tiene un riesgo de impacto relativamente bajo.

  • Squid-2.x no ha sido verificado
  • Squid-3.x hasta 3.5.28 incluido
  • Squid-4.x hasta 4.8 incluido

Se recomienda actualizar a la versión 4.9 o superior, donde se corrigen todas estas vulnerabilidades.

Referencias:
– https://nsfocusglobal.com/advisory-squid-multiple-high-risk-vulnerability/
– https://es.wikipedia.org/wiki/Squid_(programa)
– https://www.squid-cache.org/Advisories/SQUID-2019_7.txt
– https://www.squid-cache.org/Advisories/SQUID-2019_11.txt
– https://www.squid-cache.org/Advisories/SQUID-2019_10.txt
– https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12526