Gopher-Problem in Squid
Ein Fehler beim Verarbeiten der Gopher-Antworten bringt Squid zumindest zum Absturz.
Die Entwickler der Web-Caches und -Proxies Squid haben eine Lücke in der Behandlung von Gopher-Antworten behoben. Gopher ist eine Art Vorläufer des WWW und wird heute so gut wie nicht mehr genutzt.
Antwortete ein Gopher-Server auf eine Anfrage mit einer Zeile, die länger als 4096 Zeichen war, kam es zu einem Pufferüberlauf in Squid. Der führt laut Squid-Advisory "normalerweise" zu einem Absturz. Um eine Aussage, ob sich darüber Code einschleusen und ausführen ließe, drücken sich die Autoren. Normalerweise ist das der Fall.
Betroffen sind im wesentlichen alle 3er-Versionen von Squid. Die Entwickler stellen aktualisierte Pakete bereit, die den Fehler nicht mehr enthalten. Als Workaround kann man auch den Zugriff auch Gopher-URLs via ACL verbieten:
acl Gopher proto Gopher
http_access deny Gopher (ju)