Дыра в Squid

Блин они со своим сквидом позаколебали уже! Хотя 6 версия вроде с 12 марта починена:

BUGTRAQ ARCHIVE [ Message Index ] [ Thread Index ] [ Reply ] [ prev Msg by Date ] [ next Msg by Date ]

To: BugTraq Subject: updated squid advisory Date: Mar 26 2002 4:02PM Author: Adrian Chadd <adrian@creative.net.au> Message-ID: <20020326160240.GG73176@ewok.creative.net.au>

Apologies - it should be stable6, not stable5.

Here's the updated one:

__________________________________________________________________

Squid Proxy Cache Security Update Advisory SQUID-2002:2 __________________________________________________________________

Advisory ID: SQUID-2002:2 Date: March 26, 2002 Affected versions: Squid-2.x up to and including 2.4.STABLE4 Reported by: zen-parse <zen-parse@gmx.net> __________________________________________________________________

http://www.squid-cache.org/Advisories/SQUID-2002_2.txt __________________________________________________________________

Problem Description: A security issue has recently been found and fixed in the Squid-2.X releases up to and including 2.4.STABLE4.

Error and boundary conditions were not checked when handling compressed DNS answer messages in the internal DNS code (lib/rfc1035.c). A malicous DNS server could craft a DNS reply that causes Squid to exit with a SIGSEGV.

The relevant code exists in Squid-2.3, Squid-2.4, Squid-2.5 and Squid-2.6/Squid-HEAD, and is enabled by default.

__________________________________________________________________

Updated Packages:

The Squid-2.4.STABLE6 release contains fixes for all these problems. You can download the Squid-2.4.STABLE6 release from

ftp://ftp.squid-cache.org/pub/squid-2/STABLE/ http://www.squid-cache.org/Versions/v2/2.4/

or the mirrors (may take a while before all mirrors are updated). For a list of mirror sites see

http://www.squid-cache.org/Mirrors/ftp-mirrors.html http://www.squid-cache.org/Mirrors/http-mirrors.html Individual patches to the mentioned issues can be found from our patch archive for version Squid-2.4.STABLE4

http://www.squid-cache.org/Versions/v2/2.4/bugs/

The patches should also apply with only a minimal effort to earlier Squid 2.4 versions if required.

The Squid-2.5 and Squid-2.6/Squid-HEAD nightly snapshots contains the fixed DNS code.

__________________________________________________________________

Determining if your are vulnerable:

You are vulnerable if you are running these versions of Squid with internal DNS queries:

* Squid-2.4 version up to and including Squid-2.4.STABLE4 * Squid-2.5 up to the fix date (Tuesday, March 12 2002 UTC) * Squid-2.6 / Squid-HEAD up to the fix date (Tuesday, March 12 2002 UTC) * Squid-2.3

Squid uses the internal DNS implementation by default, and prints a line like this in cache.log when it is in use:

DNS Socket created at 0.0.0.0, port 4345, FD 5

> Блин они со своим сквидом позаколебали уже!

Никто никому ничего не должен !

задоблали анонимы сквид хаять.
я его юзаю и он мне нравиться... а то что дырка новая, ну чтож поделаешь. пересоберем его снова, делов то.

Кому надо, давно исправился , почти 10 дней прошло , уважаемые: Changes to Squid-2.4.STABLE6 (March 19, 2002):

- The patch for 2.4.STABLE5 was insufficnetly tested and introduced a bug that causes frequent assertions when handling DNS PTR answers.

Changes to Squid-2.4.STABLE5 (March 15, 2002):

- Fixed an array bounds bug in lib/rfc1035.c. This bug could allow a malicious DNS server to send bogus replies and corrupt the heap memory.

А что такое сквид и зачем оно нужно, может кто-нить в двух фразах объяснит? Я вот обыкновенный десктопный пользователь линукса и хочу знать надо ли оно мне?

squid.opennet.ru www.squid-cache.org www.bog.pp.ru/work/squid.html

хватит чтобы уяснить ?

Ну чё, спецы? Кто-нибудь скажет мне как кроме 80-го другие порты кешировать в transparent или никто не знает? Описание проблемы:

http://www.linux.org.ru/view-message.jsp?msgid=169372&scroll=group&ba...

а чего сложного ? кто тебе мешает еще и 8080 заворачивать к примеру ?

>squid.opennet.ru www.squid-cache.org www.bog.pp.ru/work/squid.html
>
>хватит чтобы уяснить ?

Да терь понятно, спасиба, я думаю в скором будущем мне это может пригодится, когда свою домашнюю сетку к инету подключать буду.

nat stav'

Hi!

Кстати, народ, насколько широко пользуете Oops? http://zipper.paco.net/~igor/oops/

У меня в двух конторах на FreeBSD он себя прекрасно чувствует. Правда в третьей конторе все-таки два Squid'а на Linux'е живут, опять, блин, upgrade делать.

Пусть лучше этот мальчик из группы на-на-люби..., ой нато-любителей (вообразивший себя админом) и скажет конкретно чем сквид (кстате "имелись ввиду" все сквиды?) плох...

я подозреваю что сложная программа может вызывать проблемы в критической зоне активности головного мозга... но это проблемы конретного обладателя головного мозга.

Петров Сергей

а что касается оопса.... на линухе его можно использовать с не очень большим количеством клиентов

вот и выдержка из фак-а по этому поводу....

Q5. Какая платформа считается наилучшей для OOPS? А6. Основная платформа разработки - Solaris, и, я думаю, это и есть наилучшая платформа (как sparc, так и x86). Следующая по предпочтительности (и очень близкая) - FreeBSD. К сожалению, на сегодняшний день Вы можете использовать OOPS под Linux-ом только до определенного уровня нагрузки. Причина заключается в том, что библиотека linuxthreads использует модель "один трид - один процесс", и oops использует модель "одно соединение - один трид".

а что касается буйных онанимусов хаять можно все и вся, без разбору а вот предложить что-то конструктивное, на это как всегда кишка тонка...

у меня сейчас к сквиду прикручен редиректор http://redir.neman.grodno.by так по его статистике 27% запросов к проксе это за банером вот вам еще один способ экономии трафика....

Господи, как же хорошо-то тут у вас, ребята - душевно :))) bull

Q5. Какая платформа считается наилучшей для OOPS? А6. Основная платформа разработки - Solaris, и, я думаю, это и есть наилучшая платформа (как sparc, так и x86). Следующая по предпочтительности (и очень близкая) - FreeBSD. К сожалению, на

_______________________

помню я попытку "попользовать squid" на солярисе :)))

сие есть противопоказоно... уж очень там процессы ресурсами обделены _были_.

Петров Сергей

У тебя несколько ограниченный взгляд на проблему. У насв конторе некоторые сидят е сёрфингуют, находят какой-нибудь хлам типа PDF ника на пару мегов или плакат какой-нибудь, или прикол, бывает что текстовички. Затем естессено делятся с коллегами которые в основном работают и сети не шарахаются. А поскольку сам файл слать влом вот и шлют УРЛ по аське :-( Роботяга тутже на ссылку щелкает - дока или картинка тутже выскакивает :-) В такой ситуации безошибочно определяешь кэширован файл или нет. Соотношение работяг/сёрферов гдето 10/1 максимум 5/1. Ни NAT ни МАТ здесь помочь не смогут.

народ я понял, мы разговариваем с начальником отдела кадров той самой конторки, которой сквид мешает процветать в направлении производственного росту Ж) очень радует то, что мне на моем пути не попадаются подобные индивидуумы, что позволяет мне незадачливо зарабатывать неплохую денежку, управляя этим га**ом... аминь. 8)

Любитель NAT'а==продавец траффика ;)

> позволяет мне незадачливо зарабатывать неплохую денежку, управляя этим га**ом...
А кто против? Продажи гамна никто не отменял. Более того, сельское хозяйство
загнется без оного... Вот только есть его нельзя ;)

Кстати, про неплохую денежку. Говорят, операторы душегубок тоже неплохие деньги получали...
Даже за вредность им чего-то полагалось ;)

ага, еще расскажите мне про ассенизаторов, могильщиков и навозных жуков, разве от этого что-то изменится ? не натом единым, где нужно - применяю прокси.