Критическая уязвимость в прокси-сервре Squid
Увидели свет корректирующие выпуски прокси-сервера Squid 3.0.STABLE26, 3.1.15 и 3.2.0.11, в которых исправлена критическая уязвимость в коде, обеспечивающем поддержку протокола Gopher. Проблема вызвана некорректным расчетом размера буфера при обработке слишком длинных ответов от Gopher-сервера (длиннее 4096 байт). Уязвимость может быть использована для осуществления выполнения кода злоумышленника, которому удастся инициировать запрос через прокси к подставному Gopher-серверу.Временным решением проблемы может послужить блокирование доступа к Gopher через ACL:
acl Gopher proto Gopher http_access deny Gopher
© OpenNet
