Security Lab

Ошибка конфигурации в Squid proxy

Дата публикации:23.12.2004
Дата изменения:17.10.2006
Всего просмотров:1924
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Squid proxy 2.5

Описание:
Обнаружена уязвимость в Squid proxy. Возможна некорректная конфигурация ACL.

Обнаружена ошибка при обработке конфигурационного файла. Если администратор объявляет пустой ACL, система может взять в качестве значения этого ACL следующий параметр или переменную в конфигурационном файле. Например, следующие строки:

http_access allow somewhere
Обзначают

acl something src "/path/to/empty_file.txt"
http_access allow something somewhere

URL производителя: www.squid-cache.org

Решение: Установите обновление
http://www.squid-cache.org/Versions/v2/2.5/bugs/squid-2.5.STABLE7-empty_acls.patch

Ссылки: Squid ACLs May Be Confusing When Empty Lists are Declared