Увидели свет корректирующие выпуски прокси-сервера Squid 3.0.STABLE26 (http://www.squid-cache.org/Versions/v3/3.0/RELEASENOTES.html), 3.1.15 (http://www.squid-cache.org/Versions/v3/3.1/RELEASENOTES.html) и 3.2.0.11 (http://www.squid-cache.org/Versions/v3/3.2/RELEASENOTES.html), в которых исправлена критическая уязвимость (http://www.squid-cache.org/Advisories/SQUID-2011_3.txt) в коде, обеспечивающем поддержку протокола Gopher. Проблема вызвана некорректным расчетом размера буфера при обработке слишком длинных ответов от Gopher-сервера (длиннее 4096 байт). Уязвимость может быть использована для осуществления выполнения кода злоумышленника, которому удастся инициировать запрос через прокси к подставному Gopher-серверу.
Временным решением проблемы может послужить блокирование доступа к Gopher через ACL:<font color="#461b7e">
acl Gopher proto Gopher
http_access deny Gopher</font>
URL: http://secunia.com/advisories/45805/
Новость: http://www.opennet.me/opennews/art.shtml?num=31624
Внезапно!Версии ниже 3.0.0 это не касается или они не поддерживаются?
Внезапно!
код чуть не с нуля переписан
если не ошибаюсь, аж в двух местах:
2.6 -> 2.7
2.x -> 3.x
> Временным решением проблемы может послужить блокирование доступа к Gopher через ACL:ИМХО можно напостоянно так и оставить. Лишний протокол = лишние баги. И им никто давно уже не пользуется. Зачем его вообще таскают?
Gopher его еще кто то использует, зачем он вообще там нужен, можно уже было его давно выпилить
По крайней мере его никто не отменял.
> По крайней мере его никто не отменял.Да в общем то не принято совсем отменять протоколы. Поэтому даже крайне древние протоколы формально не отменены. И? Практически все современные браузеры выбросили поддержку gopher. И серверов с ним на всю планету осталось несколько штук. Поэтому нет никакого смысла его таскать. А вот чем больше кода - тем больше багов (включая уязвимости, о чем и повествует данная новость).
Критическая уязвимость в модуле Gopher прокси-сервера Squid
ЧСХ, большинство дистров еще даже не почесалось насчет доса апача.
А за сабжевую дыру, хорошо, если к новому году возьмутся.
+1 эт точнохотя апачевцы в серьёз взялись и кажись это проблема протокола хттп
> хотя апачевцы в серьёз взялись и кажись это проблема протокола хттпА почему у остальных сервера от таких приколов не клинит? Ну или покажите заклиненый таким манером nginx, например?
Появилось обновление для апача в дебиане 6.0
>А почему у остальных сервера от таких приколов не клинит?тот же IIS игнорирует стандарт, и его не клинит.
Забавно.
Из большой пятерки браузеров его никто не поддерживает.
Только у FF есть плагин.
Это надо ещё постараться найти клиент, который зайдет на gopher.
А потом найти клиент, который зайдет на gopher через прокси.
А потом найти клиент, который зайдет на gopher через прокси и попадет на сервер злоумышленников.
Да можно конкурс устроить "кто умудрится стать жертвой уязвимости gopher?"
Было бы желание... заранее заготовить свой сервер, разослать хомячкам с "самой лучшей в мире ОСью" трояна с функционалом сабжевого клиента и теперь долбится оный троян на подставной сервер через прокси, которой указан в бравзере... Как бы цепочка не сказать чтоб длинная и нереализуемая.
Прямо всемирный заговор по захвату squid'а какой-то :)Кстати, если вы уже поназаражали хомячков троянами - да зачем вам этот squid сдался с его супер-протоколом, когда у вас уже и так есть целый ботнет?! Соотношение затраченных усилий и результата - невкусное.
Эта уязвимость не в клиенте - браузере, а в squid'е!Т.е. атакуется прокся самописным клиентом, perl-скриптом, например, с использованием подставного gopher-сервера, который ради одного запроса тоже можно самому склепать на том же perl'е.
Заблокировал, дрожа от страха. Жду когда ко мне придут разъярённые пользователи, пользующиеся этим протоколом. Хочу посмотреть на такого человека.