PT-2021-7239 · Squid+10 · Squid+11
Joshua Rogers
·
Publicado
2021-02-20
·
Atualizado
2024-06-27
·
CVE-2021-46784
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Squid 3.x a 3.5.28
Versões do Squid 4.x a 4.17
Versões do Squid 5.x anteriores à 5.6
Descrição
O problema está relacionado ao gerenciamento inadequado do buffer ao processar respostas longas do servidor Gopher, o que pode levar a uma negação de serviço. Isso pode ser explorado por um invasor remoto enviando uma resposta especialmente criada para o servidor proxy, fazendo com que ele trave. A vulnerabilidade também está associada à acessibilidade da função
assert() ou de operadores semelhantes ao lidar com respostas do servidor Gopher.Recomendações
Para as versões do Squid 3.x a 3.5.28, atualize para uma versão posterior à 3.5.28 para resolver o problema.
Para as versões 4.x a 4.17 do Squid, atualize para uma versão posterior à 4.17 para resolver o problema.
Para as versões 5.x do Squid anteriores à 5.6, atualize para a versão 5.6 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao protocolo Gopher para minimizar o risco de exploração.
Correção
DoS
Assertion Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Squid
Squid Cache
Suse
Ubuntu