22 Ноября 2024, 14:44

Squid

Автор turbo, 03 Февраля 2010, 18:17

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

turbo

03 Февраля 2010, 18:17 Последнее редактирование: 15 Февраля 2011, 09:39 от Zhek@Ch
[size="3"]Релиз Squid 3.0.STABLE23 с исправлением DoS уязвимости[/size]

Вышел релиз прокси-сервера 3.0.STABLE23 в котором устранена уязвимость, позволяющая злоумышленнику блокировать работу прокси-сервера. Проблема вызвана ошибкой в коде проверки DNS пакетов во встроенном DNS-резолвере. Инициировать атаку может любой пользователь, имеющий доступ к принимающему DNS запросы сетевому UDP порту. Номер порта выбирается при запуске squid случайным образом, но сохраняется до перезапуска программы. Как правило порт без проблем определяется злоумышленником путем сканирования.

Уязвимости подвержены все версии Squid-2.x, выпуски серии 3.0 до версии 3.0.STABLE22 включительно и экспериментальной серии 3.1 до версии 3.1.0.15 включительно. Для решения проблемы можно использовать специально подготовленный патч. В качестве временной защиты в файле конфигурации можно активировать опцию "ignore_unknown_nameservers" или блокировать поступление запросов к Squid с внешних DNS серверов, организовав на текущем сервере работу отдельного кэширующего DNS-сервера.

Техника проведения комплексной атаки наглядно описана в PDF-презентации, подготовленной для конференции Chaos Communication Congress и рассматривающей возможность подстановки содержимого в DNS кэш прокси-сервера Squid.

http://www.opennet.r...shtml?num=25257

Zhek@Ch

15 Февраля 2011, 09:40 #1 Последнее редактирование: 15 Февраля 2011, 09:41 от Zhek@Ch
[size="3"]Релиз прокси-сервера Squid 3.1.11 [/size]

Вышел релиз прокси-сервера squid-3.1.11 в котором представлено 26 исправлений. Из улучшений можно отметить:
  • Реализация директивы "stale-if-error" в рамках реализации поддержки расширений для управления кэшем RFC 5861 (Cache-Control). Директива позволяет установить максимальный лимит, как долго устаревший прокэшированный объект может быть использован, прежде чем клиенту начнет возвращаться код 5xx;
  • При использовании директивы deny_info для редиректа не-GET/HEAD запросов клиенту теперь выводится статус HTTP/1.1 307;
  • Улучшен код обработки сбоев eCAP-транзакций;
  • Добавлена директива ftp_eprt для отключения EPRT-расширений в FTP;
  • Для браузеров с User-Agent Mozilla/3.0 теперь допускается создание постоянных соединений (persistent).

Rubik

05 Апреля 2011, 20:03 #2 Последнее редактирование: 05 Апреля 2011, 20:03 от Rubik
[size="3"]Релиз прокси-сервера Squid 3.1.12 [/size]
 
Вышел релиз прокси-сервера squid-3.1.12 в котором представлено 30 исправлений.

Из изменений можно отметить:

  • Поддержка симулирования создания DIRECT-туннеля к пирам, поддерживающим метод CONNECT;
  • Увеличение размера буфера при чтении данных для оптимизации производительности;
  • В squidclient теперь используется заголовок Cache-Control вместе Pragma;
  • Налажен процесс сборки в Solaris при помощи GCC 4.5.0;
  • В HTCP обеспечена корректная обработка сбоев операций чтения и маленьких пакетов.