Squid

• Le principali modifiche da tenere presenti:
• CVE-2014-0128: SQUID-2014: 1 Denial of Service in SSL-Bump http://www.squid-cache.org/Advisories/SQUID-2014_1.txt Questo problema si verifica nel traffico con urto SSL e la maggior parte severamente quando si utilizza il primo bumping del server. Permette a qualsiasi cliente che può generare richieste HTTPS di eseguire un attacco denial of service su Squid. Esistono diffuse implementazioni software client che generano richieste HTTPS e attivano questa vulnerabilità durante le loro normali attività.
• Bug # 4029: le richieste HTTPS intercettate escludono i controlli di cache:
• Questo bug ha causato a Squid di memorizzare nella cache le risposte alle richieste HTTPS in cui il caching avrebbe dovuto essere rifiutato a causa del metodo. Risultante nelle transazioni di cortocircuito HIT che avrebbero dovuto essere inoltrate al server di origine.
• Bug # 4026: SSL e adaptation_access sulle connessioni interrotte:
• Quando si eseguiva l'adattamento sul traffico SSL, era possibile che un client attendibile interrompesse Squid. Ciò è stato possibile solo durante il periodo molto ristretto di selezione dei servizi di adattamento da eseguire, quindi l'impatto sulla sicurezza è molto improbabile. Tuttavia, nelle configurazioni che utilizzano i test ACL lenti o gli helper ACL esterni, il rischio aumenta notevolmente.
• Bug # 3969: memorizzazione delle credenziali nella cache per l'autenticazione del digest:
• Questo bug ha portato all'autenticazione del digest in modo errato di autenticare le richieste contro le credenziali dell'utente sbagliato e forzare la ri-autenticazione. Anche se questo comportamento a prova di errore è sicuro da un punto di vista della sicurezza, può comportare un ampio utilizzo della larghezza di banda su Squid interessato.
• Bug # 3769: client_netmask non valutato dopo la riprogettazione delle comunicazioni:
• Questo bug ha causato la direttiva client_netmask nelle versioni Squid-3.2 e Squid-3.3 per non avere alcun effetto. Il comportamento progettato di mascherare gli IP dei client nei log è ora ripristinato.
• Bug # 3186 e # 3628: autenticazione del digest che invia sempre stantio = falso:
• Questi bug hanno portato il software client a determinare erroneamente l'autenticazione del digest in caso di messaggi di errore e / o di ri-autenticazione che si sono verificati ad ogni scadenza TTL non grave.
• Sono stati risolti diversi problemi di portabilità:
• I problemi risolti sono ampiamente visibili come errori di compilazione relativi a cstdio, strsep () e vari simboli CMSG. Questi problemi hanno interessato tutti i sistemi basati su BSD e diversi basati su Unix.

Novità della versione nella versione:

• Le principali modifiche da tenere presenti:
• CVE-2014-0128: SQUID-2014: 1 Denial of Service in SSL-Bump http://www.squid-cache.org/Advisories/SQUID-2014_1.txt Questo problema si verifica nel traffico con urto SSL e la maggior parte severamente quando si utilizza il primo bumping del server. Permette a qualsiasi cliente che può generare richieste HTTPS di eseguire un attacco denial of service su Squid. Esistono diffuse implementazioni software client che generano richieste HTTPS e attivano questa vulnerabilità durante le loro normali attività.
• Bug # 4029: le richieste HTTPS intercettate escludono i controlli di cache:
• Questo bug ha causato a Squid di memorizzare nella cache le risposte alle richieste HTTPS in cui il caching avrebbe dovuto essere rifiutato a causa del metodo. Risultante nelle transazioni di cortocircuito HIT che avrebbero dovuto essere inoltrate al server di origine.
• Bug # 4026: SSL e adaptation_access sulle connessioni interrotte:
• Quando si eseguiva l'adattamento sul traffico SSL, era possibile che un client attendibile interrompesse Squid. Ciò è stato possibile solo durante il periodo molto ristretto di selezione dei servizi di adattamento da eseguire, quindi l'impatto sulla sicurezza è molto improbabile. Tuttavia, nelle configurazioni che utilizzano i test ACL lenti o gli helper ACL esterni, il rischio aumenta notevolmente.
• Bug # 3969: memorizzazione delle credenziali nella cache per l'autenticazione del digest:
• Questo bug ha portato all'autenticazione del digest in modo errato di autenticare le richieste contro le credenziali dell'utente sbagliato e forzare la ri-autenticazione. Anche se questo comportamento a prova di errore è sicuro da un punto di vista della sicurezza, può comportare un ampio utilizzo della larghezza di banda su Squid interessato.
• Bug # 3769: client_netmask non valutato dopo la riprogettazione delle comunicazioni:
• Questo bug ha causato la direttiva client_netmask nelle versioni Squid-3.2 e Squid-3.3 per non avere alcun effetto. Il comportamento progettato di mascherare gli IP dei client nei log è ora ripristinato.
• Bug # 3186 e # 3628: autenticazione del digest che invia sempre stantio = falso:
• Questi bug hanno portato il software client a determinare erroneamente l'autenticazione del digest in caso di messaggi di errore e / o di ri-autenticazione che si sono verificati ad ogni scadenza TTL non grave.
• Sono stati risolti diversi problemi di portabilità:
• I problemi risolti sono ampiamente visibili come errori di compilazione relativi a cstdio, strsep () e vari simboli CMSG. Questi problemi hanno interessato tutti i sistemi basati su BSD e diversi basati su Unix.

Novità nella versione 3.5.9:

• Le principali modifiche da tenere presenti:
• CVE-2014-0128: SQUID-2014: 1 Denial of Service in SSL-Bump http://www.squid-cache.org/Advisories/SQUID-2014_1.txt Questo problema si verifica nel traffico con urto SSL e la maggior parte severamente quando si utilizza il primo bumping del server. Permette a qualsiasi cliente che può generare richieste HTTPS di eseguire un attacco denial of service su Squid. Esistono diffuse implementazioni software client che generano richieste HTTPS e attivano questa vulnerabilità durante le loro normali attività.
• Bug # 4029: le richieste HTTPS intercettate escludono i controlli di cache:
• Questo bug ha causato a Squid di memorizzare nella cache le risposte alle richieste HTTPS in cui il caching avrebbe dovuto essere rifiutato a causa del metodo. Risultante nelle transazioni di cortocircuito HIT che avrebbero dovuto essere inoltrate al server di origine.
• Bug # 4026: SSL e adaptation_access sulle connessioni interrotte:
• Quando si eseguiva l'adattamento sul traffico SSL, era possibile che un client attendibile interrompesse Squid. Ciò è stato possibile solo durante il periodo molto ristretto di selezione dei servizi di adattamento da eseguire, quindi l'impatto sulla sicurezza è molto improbabile. Tuttavia, nelle configurazioni che utilizzano i test ACL lenti o gli helper ACL esterni, il rischio aumenta notevolmente.
• Bug # 3969: memorizzazione delle credenziali nella cache per l'autenticazione del digest:
• Questo bug ha portato all'autenticazione del digest in modo errato di autenticare le richieste contro le credenziali dell'utente sbagliato e forzare la ri-autenticazione. Anche se questo comportamento a prova di errore è sicuro da un punto di vista della sicurezza, può comportare un ampio utilizzo della larghezza di banda su Squid interessato.
• Bug # 3769: client_netmask non valutato dopo la riprogettazione delle comunicazioni:
• Questo bug ha causato la direttiva client_netmask nelle versioni Squid-3.2 e Squid-3.3 per non avere alcun effetto. Il comportamento progettato di mascherare gli IP dei client nei log è ora ripristinato.
• Bug # 3186 e # 3628: autenticazione del digest che invia sempre stantio = falso:
• Questi bug hanno portato il software client a determinare erroneamente l'autenticazione del digest in caso di messaggi di errore e / o di ri-autenticazione che si sono verificati ad ogni scadenza TTL non grave.
• Sono stati risolti diversi problemi di portabilità:
• I problemi risolti sono ampiamente visibili come errori di compilazione relativi a cstdio, strsep () e vari simboli CMSG. Questi problemi hanno interessato tutti i sistemi basati su BSD e diversi basati su Unix.

Novità nella versione 3.5.6:

• Le principali modifiche da tenere presenti:
• CVE-2014-0128: SQUID-2014: 1 Denial of Service in SSL-Bump http://www.squid-cache.org/Advisories/SQUID-2014_1.txt Questo problema si verifica nel traffico con urto SSL e la maggior parte severamente quando si utilizza il primo bumping del server. Permette a qualsiasi cliente che può generare richieste HTTPS di eseguire un attacco denial of service su Squid. Esistono diffuse implementazioni software client che generano richieste HTTPS e attivano questa vulnerabilità durante le loro normali attività.
• Bug # 4029: le richieste HTTPS intercettate escludono i controlli di cache:
• Questo bug ha causato a Squid di memorizzare nella cache le risposte alle richieste HTTPS in cui il caching avrebbe dovuto essere rifiutato a causa del metodo. Risultante nelle transazioni di cortocircuito HIT che avrebbero dovuto essere inoltrate al server di origine.
• Bug # 4026: SSL e adaptation_access sulle connessioni interrotte:
• Quando si eseguiva l'adattamento sul traffico SSL, era possibile che un client attendibile interrompesse Squid. Ciò è stato possibile solo durante il periodo molto ristretto di selezione dei servizi di adattamento da eseguire, quindi l'impatto sulla sicurezza è molto improbabile. Tuttavia, nelle configurazioni che utilizzano i test ACL lenti o gli helper ACL esterni, il rischio aumenta notevolmente.
• Bug # 3969: memorizzazione delle credenziali nella cache per l'autenticazione del digest:
• Questo bug ha portato all'autenticazione del digest in modo errato di autenticare le richieste contro le credenziali dell'utente sbagliato e forzare la ri-autenticazione. Anche se questo comportamento a prova di errore è sicuro da un punto di vista della sicurezza, può comportare un ampio utilizzo della larghezza di banda su Squid interessato.
• Bug # 3769: client_netmask non valutato dopo la riprogettazione delle comunicazioni:
• Questo bug ha causato la direttiva client_netmask nelle versioni Squid-3.2 e Squid-3.3 per non avere alcun effetto. Il comportamento progettato di mascherare gli IP dei client nei log è ora ripristinato.
• Bug # 3186 e # 3628: autenticazione del digest che invia sempre stantio = falso:
• Questi bug hanno portato il software client a determinare erroneamente l'autenticazione del digest in caso di messaggi di errore e / o di ri-autenticazione che si sono verificati ad ogni scadenza TTL non grave.
• Sono stati risolti diversi problemi di portabilità:
• I problemi risolti sono ampiamente visibili come errori di compilazione relativi a cstdio, strsep () e vari simboli CMSG. Questi problemi hanno interessato tutti i sistemi basati su BSD e diversi basati su Unix.

Novità nella versione 3.5.4:

• Le principali modifiche da tenere presenti:
• CVE-2014-0128: SQUID-2014: 1 Denial of Service in SSL-Bump http://www.squid-cache.org/Advisories/SQUID-2014_1.txt Questo problema si verifica nel traffico con urto SSL e la maggior parte severamente quando si utilizza il primo bumping del server. Permette a qualsiasi cliente che può generare richieste HTTPS di eseguire un attacco denial of service su Squid. Esistono diffuse implementazioni software client che generano richieste HTTPS e attivano questa vulnerabilità durante le loro normali attività.
• Bug # 4029: le richieste HTTPS intercettate escludono i controlli di cache:
• Questo bug ha causato a Squid di memorizzare nella cache le risposte alle richieste HTTPS in cui il caching avrebbe dovuto essere rifiutato a causa del metodo. Risultante nelle transazioni di cortocircuito HIT che avrebbero dovuto essere inoltrate al server di origine.
• Bug # 4026: SSL e adaptation_access sulle connessioni interrotte:
• Quando si eseguiva l'adattamento sul traffico SSL, era possibile che un client attendibile interrompesse Squid. Ciò è stato possibile solo durante il periodo molto ristretto di selezione dei servizi di adattamento da eseguire, quindi l'impatto sulla sicurezza è molto improbabile. Tuttavia, nelle configurazioni che utilizzano i test ACL lenti o gli helper ACL esterni, il rischio aumenta notevolmente.
• Bug # 3969: memorizzazione delle credenziali nella cache per l'autenticazione del digest:
• Questo bug ha portato all'autenticazione del digest in modo errato di autenticare le richieste contro le credenziali dell'utente sbagliato e forzare la ri-autenticazione. Anche se questo comportamento a prova di errore è sicuro da un punto di vista della sicurezza, può comportare un ampio utilizzo della larghezza di banda su Squid interessato.
• Bug # 3769: client_netmask non valutato dopo la riprogettazione delle comunicazioni:
• Questo bug ha causato la direttiva client_netmask nelle versioni Squid-3.2 e Squid-3.3 per non avere alcun effetto. Il comportamento progettato di mascherare gli IP dei client nei log è ora ripristinato.
• Bug # 3186 e # 3628: autenticazione del digest che invia sempre stantio = falso:
• Questi bug hanno portato il software client a determinare erroneamente l'autenticazione del digest in caso di messaggi di errore e / o di ri-autenticazione che si sono verificati ad ogni scadenza TTL non grave.
• Sono stati risolti diversi problemi di portabilità:
• I problemi risolti sono ampiamente visibili come errori di compilazione relativi a cstdio, strsep () e vari simboli CMSG. Questi problemi hanno interessato tutti i sistemi basati su BSD e diversi basati su Unix.

Novità nella versione 3.5.2:

• Le principali modifiche da tenere presenti:
• CVE-2014-0128: SQUID-2014: 1 Denial of Service in SSL-Bump http://www.squid-cache.org/Advisories/SQUID-2014_1.txt Questo problema si verifica nel traffico con urto SSL e la maggior parte severamente quando si utilizza il primo bumping del server. Permette a qualsiasi cliente che può generare richieste HTTPS di eseguire un attacco denial of service su Squid. Esistono diffuse implementazioni software client che generano richieste HTTPS e attivano questa vulnerabilità durante le loro normali attività.
• Bug # 4029: le richieste HTTPS intercettate escludono i controlli di cache:
• Questo bug ha causato a Squid di memorizzare nella cache le risposte alle richieste HTTPS in cui il caching avrebbe dovuto essere rifiutato a causa del metodo. Risultante nelle transazioni di cortocircuito HIT che avrebbero dovuto essere inoltrate al server di origine.
• Bug # 4026: SSL e adaptation_access sulle connessioni interrotte:
• Quando si eseguiva l'adattamento sul traffico SSL, era possibile che un client attendibile interrompesse Squid. Ciò è stato possibile solo durante il periodo molto ristretto di selezione dei servizi di adattamento da eseguire, quindi l'impatto sulla sicurezza è molto improbabile. Tuttavia, nelle configurazioni che utilizzano i test ACL lenti o gli helper ACL esterni, il rischio aumenta notevolmente.
• Bug # 3969: memorizzazione delle credenziali nella cache per l'autenticazione del digest:
• Questo bug ha portato all'autenticazione del digest in modo errato di autenticare le richieste contro le credenziali dell'utente sbagliato e forzare la ri-autenticazione. Anche se questo comportamento a prova di errore è sicuro da un punto di vista della sicurezza, può comportare un ampio utilizzo della larghezza di banda su Squid interessato.
• Bug # 3769: client_netmask non valutato dopo la riprogettazione delle comunicazioni:
• Questo bug ha causato la direttiva client_netmask nelle versioni Squid-3.2 e Squid-3.3 per non avere alcun effetto. Il comportamento progettato di mascherare gli IP dei client nei log è ora ripristinato.
• Bug # 3186 e # 3628: autenticazione del digest che invia sempre stantio = falso:
• Questi bug hanno portato il software client a determinare erroneamente l'autenticazione del digest in caso di messaggi di errore e / o di ri-autenticazione che si sono verificati ad ogni scadenza TTL non grave.
• Sono stati risolti diversi problemi di portabilità:
• I problemi risolti sono ampiamente visibili come errori di compilazione relativi a cstdio, strsep () e vari simboli CMSG. Questi problemi hanno interessato tutti i sistemi basati su BSD e diversi basati su Unix.