Neue Squid-Version behebt Denial-of-Service-Lücken

Die Entwickler des freien Proxyservers Squid haben drei Sicherheitslücken behoben, die von Angreifern ausgenutzt werden können, um Denial-of-Service-Angriffe auszuführen. Eines der Sicherheitsprobleme war dem Squid-Team seit längerer Zeit bekannt, wurde aber aufgrund Personalmangels erst jetzt behoben.

Alle drei Sicherheitslücken werden von den Squid-Entwicklern mit 8.6 CVSS-Punkten bewertet, ihr Schweregrad ist gemäß der CVSS-Skala somit hoch. Diese Bewertung kommt unter anderem dadurch zustande, dass Angreifer die Bugs aus der Ferne und ohne Authentifizierung ausnutzen können – lediglich die Tatsache, dass "nur" ein Denial of Service möglich ist, rettet Squid vor dem CVSS-Highscore von 10.

Die Sicherheitslücken betreffen die folgenden Squid-Versionen:

• CVE-2023-49288 betrifft Squid-Installationen von 3.5 bis 5.9, sofern die Konfigurationseinstellung collapsed_forwarding aktiviert ist (in Standardkonfigurationen deaktiviert),
• CVE-2023-49286 betrifft alle Squid-Versionen vor 6.5 und
• CVE-2023-49285 betrifft alle Squid-Versionen von 2.2-5.9 sowie 6.0 bis 6.4.

Admins sollten die bereitstehenden Updates oder Patches einspielen.

Personalmangel behindert zügige Updates

Zumindest eine der Sicherheitslücken war dem Squid-Projekt bereits seit Längerem bekannt. Der DoS-Bug mit der CVE-Kennung CVE-2023-49286 taucht in einer Liste mit über 50 teilweise jahrealten Squid-Lücken auf, die ein IT-Forscher im Oktober veröffentlichte. Seitdem arbeitet das Entwicklerteam, das unter großem Personalmangel leidet, immer wieder Fehler aus dieser Liste ab, so auch mit einem Sicherheits-Update Ende Oktober dieses Jahres. (cku)