Update für Squid beseitigt DoS-Schwachstelle

Präparierte DNS-Pakete können den populären Webproxy/Cache Squid aus dem Tritt bringen, sodass dieser für kurze Zeit nicht mehr reagiert. Ursache des Problems ist die ungenügende Prüfung von DNS-Antworten an Squid, der diese zunächst in einer Queue einsortiert. Mit Paketen, die nur einen Header enthalten, lässt sich die Queue (über-)füllen, was sich offenbar für Denial-of-Service-Angriffe missbrauchen lässt.

Der Fehler lässt sich sowohl von internen Clients als auch von externen DNS-Servern ausnutzen. Das Problem ist bereits seit dem vergangenen Chaos Communication Congress (26c3) bekannt, auf der
Fabian Yamaguchi diesen und weitere Fehler in anderen Anwendungen in seinem Vortrag "cat /proc/sys//net//ipv4//fuckups" (PDF) detailliert beschrieb.

Betroffen sind die Squid-Versionen 2.x, 3.0 bis einschließlich 3.0.STABLE21, sowie Squid 3.1 bis einschließlich 3.1.0.15. In den Versionen Squid 3.0.STABLE22 und 3.1.0.16 ist der Fehler behoben. Zusätzlich steht ein Patch bereit.

Siehe dazu auch:

• Denial of Service issue in DNS handling, Bericht von Squid.org
• 26C3: Schwächen im Netzwerk-Design

(dab)