Red Hat beseitigt Lücke in Web-Proxy Squid
Red Hat hat neue Pakete für den Web-Proxy-Cache Squid herausgebracht, die eine Schwachstelle beseitigen sowie neue ACL-Funktionen einführen.
Red Hat hat neue Pakete für den Web-Proxy-Cache Squid herausgebracht, die eine Schwachstelle beseitigen sowie neue ACL-Funktionen einführen. Aufgrund eines Fehlers bei der Verarbeitung von %-codierten Zeichen in URLs ist es möglich auf Webseiten zuzugreifen, die eigentlich mit ACLs gesperrt sind. Betroffen ist Version 2.5.STABLE4 und vorherige.
Mit dem neuen ACL-Kontrolltypen "urllogin" ist es zukünftig möglich, URLs zu blocken, in denen Anmeldeinformationen eingebettet sind. Insbesondere der Internet Explorer machte bis zum letzten kumulativen Patch MS04-004 von dieser Möglichkeit Gebrauch. Leider nutzten auch Angreifer diese Möglichkeit, um Anwendern falsche URLs vorzugaukeln. ACLs sind unter Squid standardmäßig nicht aktiviert. Red Hat empfiehlt, die neuen Pakete zu installieren.
Siehe dazu auch: (dab)
- Security Advisory von Red Hat
