hablando del rey de roma, menos mal que yo uso el de los backports
----- Forwarded message from Salcocho Noticioso <feedblas...@hcg.sld.cu> ----- Date: Fri, 13 May 2016 23:00:05 -0400 From: Salcocho Noticioso <feedblas...@hcg.sld.cu> To: laz...@hcg.sld.cu Subject: Nuevas vulnerabilidades en Squid [Hispasec @unaaldia] X-Mailer: feedblaster.rb - ruby 2.3.0p0 (2015-12-25 revision 53290) [x86_64-linux] Nuevas vulnerabilidades en Squid Squid ha publicado tres boletines de seguridaddestinados a solucionar cuatro nuevas vulnerabilidades en SQUID que podrían permitir a atacantes remotos envenenar la caché, evitar restricciones de seguridad o provocar condiciones de denegación de servicio. [Squid-cache] Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix). El primer problema, con CVE-2016-4553, se debe a una validación incorrecta de los datos de mensajes http interceptados los clientes pueden evitar la protección contra fallos relacionados con la vulnerabilidad CVE-2009-0801. Esto podría permitir el envenenamiento de la caché. Afecta a Squid 3.2.0.11 a 3.5.17 y Squid 4.x. Por otra parte, con CVE-2016-4554, una validación incorrecta de las entradas permite la realización de ataques "smuggling" de cabeceras lo que permitiría el envenenamiento de la caché o evitar las políticas de mismo origen en Squid y en algunos navegadores. Afecta a todas las versiones de Squid. Por último, dos vulnerabilidadespor tratamiento inadecuado de punteros pueden provocar condiciones de denegación de servicio al tratar respuestas ESI. Afectan a Squid 3.x y Squid 4.x. Se han asignado los CVE-2016-4555y CVE-2016-4556. Los problemas están solucionados en las versiones Squid 3.5.18 y 4.0.10, o también se pueden aplicar los parches disponibles desde: Squid 3.1: http://www.squid-cache.org/Versions/v3/3.1/changesets/SQUID-2016_8.patch Squid 3.2: http://www.squid-cache.org/Versions/v3/3.2/changesets/SQUID-2016_8.patch Squid 3.3: http://www.squid-cache.org/Versions/v3/3.3/changesets/SQUID-2016_8.patch Squid 3.4: http://www.squid-cache.org/Versions/v3/3.4/changesets/SQUID-2016_8.patch http://www.squid-cache.org/Versions/v3/3.4/changesets/SQUID-2016_9.patch Squid 3.5: http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-14039.patch http://www.squid-cache.org/Versions/v3/3.5/changesets/SQUID-2016_8.patch http://www.squid-cache.org/Versions/v3/3.5/changesets/SQUID-2016_9.patch En el último mes, se han publicado actualizaciones en otras dos ocasiones para otras dosy cuatrovulnerabilidades diferentes respectivamente que podían permitir a atacantes remotos provocar condiciones de denegación de servicio, conseguir información sensible o ejecutar código arbitrario. Más información: Squid Proxy Cache Security Update Advisory SQUID-2016:7 Cache poisoning issue in HTTP Request handling http://www.squid-cache.org/Advisories/SQUID-2016_7.txt Squid Proxy Cache Security Update Advisory SQUID-2016:8 Header smuggling issue in HTTP Request processing http://www.squid-cache.org/Advisories/SQUID-2016_8.txt Squid Proxy Cache Security Update Advisory SQUID-2016:9 Multiple Denial of Service issues in ESI Response processing. http://www.squid-cache.org/Advisories/SQUID-2016_9.txt una-al-dia (24/04/2016) Cuatro nuevas vulnerabilidades en Squid http://unaaldia.hispasec.com/2016/04/ cuatro-nuevas-vulnerabilidades-en-squid.html una-al-dia (09/04/2016) Solucionadas dos vulnerabilidades en Squid http://unaaldia.hispasec.com/2016/04/solucionadas-dos-vulnerabilidades-en.html Antonio Ropero anton...@hispasec.com Twitter: @aropero * ----- End forwarded message ----- -- -------- Warning! ------------ 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
