Alvorlig sårbarhet i utbredt webproxy

Det er blitt funnet en sårbarhet i webproxyen Squid som kan gi uvedkommende systemadgang via Internett.

iDefence melder om at det er blitt oppdaget et sikkerhetshull i webproxy-cachen Squid, som mange nettsteder benytter for å redusere belastningen på selve webserveren.

Sårbarheten, som kan utnyttes via Internett, skyldes en overflytsfeil i en buffer som benyttes i forbindelse med en hjelperutine for NTLM-autentisering, ntlm_check_auth().

Vellykkede angrep vil gi angriperen muligheten til å kjøre vilkårlig kode på maskiner hvor Squid kjøres. Dette kan gjøres ved å sende et veldig langt passord til Squid.

Sårbarheten avhenger av at NTLM-autentiseringshjelperen er aktivert under kompileringen. Det er litt uklart om det i tillegg kreves at Squid i konfigurasjonsfilen er satt opp til å benytte NTLM-autentiseringshjelperen. Dette er normalt ikke standardinnstillingen, og vil dermed redusere sannsynligheten for at de fleste brukernes installasjoner er sårbare.

En patch som tetter sikkerhetshullet, er publisert på denne siden.

Sårbarheten er funnet både i Squid 2.5.*-STABLE og 3.*-PRE-utgavene.

Til toppen