Proxy: Squid-Entwickler dichten teils kritische Lecks in Version 6.4 ab
Mit Squid 6.4 haben die Entwickler eine um vier Sicherheitslücken bereinigte Version des Proxy-Servers vorgelegt. Es klaffen jedoch weitere Lücken darin.
Notfall im Rechenzentrum
(Bild: vchal/Shutterstock.com)
Die Universal-Web-Caching-Software Squid haben die Entwickler in Version 6.4 veröffentlicht. Der neue Versionsstand räumt vier sicherheitsrelevante Fehler aus. Mehrere davon stufen die Programmierer als kritisch ein. IT-Verantwortliche sollten die verfügbaren Aktualisierungen zügig installieren.
Sofern die Squid-Konfiguration die HTTP Digest Authentication aktiviert, können Angreifer aus dem Netz einen Pufferüberlauf auslösen und dabei bis zu zwei Megabyte an Speicher mit beliebigen Inhalten auf dem Heap überschreiben. Dies führe auf Maschinen mit erweitertem Speicherschutz zu einem Denial-of-Service (CVSS 9.9, Risiko "kritisch"), schreiben die Programmierer in einer Sicherheitsmitteilung.
Squid: Mehrere kritische Schwachstellen ausgebessert
Für die Prüfung von HTTP-Response-Header setzt Squid Speichergrenzen vor dem Cachen. Bei der späteren Verwendung bei Cache-HIT-Antworten können jedoch andere Begrenzungen aktiv sein, erläutern die Squid-Entwickler in der zweiten Sicherheitswarnung. Zudem werden die Grenzen bei jeder empfangenen Server-Antwort angewendet. Dadurch könne ein gecachter HTTP-Response-Header mit HTTP-304-Updates (Statusmeldung für "not modified") über die konfigurierte maximale Header-Größe hinaus wachsen. Die anschließende Verarbeitung zum Deserialisieren des Headers aus dem Disk-Cache könne den Arbeits-Prozess dann blockieren oder abstürzen lassen. Dies führe zu einem Denial-of-Service für alle Clients, die den Proxy nutzen (CVSS 9.6, kritisch).
Angreifer könnten außerdem Request/Response-Schmuggel durch eine Firewall und Sicherheitssysteme betreiben, wenn die Zielserver das Chunked Encoding anders interpretieren als Squid. Angriffsmöglichkeiten seien jedoch auf die HTTP/1.1- und ICAP-Protokolle beschränkt, die die Transfer-Kodierung "Chunked" unterstützen (CVSS 9.3, kritisch). Eine inkorrekte Konvertierung numerischer Typen ermöglicht zudem Denial-of-Service-Attacken in der Datenüberprüfung der FTP Native Relay-Funktion sowie bei der ftp://-URL-Prüfung. Das Problem trete bei den Zugriffskontrollen auf, also schon dann, wenn die Clients die Nutzung des Proxys noch gar nicht gestattet hätten. FTP-Unterstützung ist in Squid immer aktiv und lässt sich auch nicht vollständig deaktivieren (CVSS 8.6, hoch).
Betroffene Versionen und Updates
CVE-Einträge für die Schwachstellen wurden noch nicht erstellt, es gibt auch noch keine CVE-Nummern. Verwundbar sind den Squid-Angaben zufolge alle Squid-5.x-Versionen, einschließlich 5.9, sowie Squid-6.x bis einschließlich 6.3. Für diese beiden Versionszweige stehen Patches und aktualisierte Pakete bereit. Die noch älteren Fassungen haben die Entwickler nicht auf Verwundbarkeit überprüft, gehen aber davon aus, dass die Schwachstellen enthalten sind. Sie erhalten derzeit keine Aktualisierung. Drei von den Lücken hat (unter anderem) Joshua Rogers gemeldet.
Der hatte kürzlich einen Blog-Beitrag veröffentlicht, in dem er von 35 noch offenen Schwachstellen in Squid berichtete. Insgesamt habe er seit 2021 55 Lücken gemeldet. Das Projekt sei personell jedoch unterbesetzt und komme daher nur sehr zögerlich hinterher, die Programmierfehler auszubessern. Da die Software für viele unterschiedliche Einsatzzwecke geeignet ist, lässt sie sich in der Regel nicht einfach ersetzen. Unternehmen, die die Software nutzen, sollten daher überlegen, ob sie das Projekt mit Entwicklern unterstützen können.
(dmk)
