The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вышел Squid 3.0.STABLE23 с исправлением DoS уязвимости

02.02.2010 15:20

Вышел релиз прокси-сервера 3.0.STABLE23 в котором устранена уязвимость, позволяющая злоумышленнику блокировать работу прокси-сервера. Проблема вызвана ошибкой в коде проверки DNS пакетов во встроенном DNS-резолвере. Инициировать атаку может любой пользователь, имеющий доступ к принимающему DNS запросы сетевому UDP порту. Номер порта выбирается при запуске squid случайным образом, но сохраняется до перезапуска программы. Как правило порт без проблем определяется злоумышленником путем сканирования.

Уязвимости подвержены все версии Squid-2.x, выпуски серии 3.0 до версии 3.0.STABLE22 включительно и экспериментальной серии 3.1 до версии 3.1.0.15 включительно. Для решения проблемы можно использовать специально подготовленный патч. В качестве временной защиты в файле конфигурации можно активировать опцию "ignore_unknown_nameservers" или блокировать поступление запросов к Squid с внешних DNS серверов, организовав на текущем сервере работу отдельного кэширующего DNS-сервера.

Техника проведения комплексной атаки наглядно описана в PDF-презентации, подготовленной для конференции Chaos Communication Congress и рассматривающей возможность подстановки содержимого в DNS кэш прокси-сервера Squid.

  1. Главная ссылка к новости (http://www.squid-cache.org/Ver...)
  2. OpenNews: Релиз прокси-сервера Squid 3.0.STABLE21
  3. OpenNews: Обновление ClamAV 0.95.3 и Squid 3.0.STABLE20
  4. OpenNews: Вышел релиз прокси-сервера Squid 3.0.STABLE17 с исправлением DoS уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/25257-squid
Ключевые слова: squid, proxy, security, dns
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (4) RSS
  • 1, makky (?), 01:27, 03/02/2010 [ответить]  
  • +/
    я неправильно понимаю, что squid использует /etc/resolve.conf? В логах же вроде это пишется... хотя на фаирволе после апгрейда пришлось udp запросы разрешить.. не было времени опреелиться отчего так.
     
     
  • 2, universite (ok), 03:26, 03/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    при сборке можно указать как внешний, так и внутренний DNS ресолвер.
     
  • 4, makky (?), 02:58, 22/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Снова мой некропост.. Кальмар давно юзает не свои dns helpers, но тогда рушил мне моск и вроде как юзал внешние какие-то средства и мало обращал вниамние на то, что актуально. Я давно обновился и доволен. http://it-e.ru работает посредством этого демона и я не жалуюсь. Хотя черт его знает.. Пытаюсь давно сравнивать с oops.

    PS: неуспешно squid все же лучше. не всегда, но лучше.  

     

  • 3, pavlinux (ok), 20:03, 03/02/2010 [ответить]  
  • +/
    >Техника проведения комплексной атаки наглядно описана в PDF-презентации

    Fabian ‘fabs’ Yamaguchi - Ямагучи :)

    Зачтоная презентация !!! Особо BIG FAT TCP SEGMENT!!! и Squid к верху лапами :)

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру