Опубликован (https://www.mail-archive.com/squid-announce@lists.squid...) корректирующий выпуск прокси-сервера  Squid 4.8 (http://www.squid-cache.org/), в котором устранено 5 уязвимостей. Одна уязвимость  (CVE-2019-12527) позволяет (https://www.mail-archive.com/squid-announce@lists.squid...) потенциально организовать выполнение кода с правами серверного процесса.

Проблема вызвана ошибкой в обработчике аутентификации HTTP Basic и позволяет инициировать переполнение буфера при передаче специальной оформленных учётных данных при обращении к Squid Cache
Manager или встроенному шлюзу FTP. Уязвимость проявляется начиная с выпуска Squid 4.0.23. В качестве обходного пути блокирования уязвимости можно пересобрать squid с опцией "--disable-auth-basic" или запретить в конфигурации обращение к сервисам, использующим HTTP-аутентификацию:

    acl FTP proto FTP
    http_access deny FTP
    http_access deny manager

Другие три уязвимости могут привести к отказу в обслуживании при манипуляциях с  cachemgr.cgi, аутентификации HTTP Digest или HTTP Basic. Оставшаяся уязвимость позволяет организовать межсайтовый скриптинг через cachemgr.cgi.

URL: https://www.mail-archive.com/squid-announce@lists.squid...
Новость: https://www.opennet.me/opennews/art.shtml?num=51087

• Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 19:40 , 14-Июл-19
  • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,helgi, 19:47 , 14-Июл-19
  • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним84701, 19:52 , 14-Июл-19
    • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 21:39 , 14-Июл-19
  • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 21:15 , 14-Июл-19
• Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,аноним3, 21:51 , 14-Июл-19
  • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 22:36 , 14-Июл-19
    • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 23:16 , 14-Июл-19
    • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,аноним3, 02:54 , 15-Июл-19
      • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 10:50 , 15-Июл-19
        • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,аноним3, 17:29 , 15-Июл-19
    • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 15:53 , 16-Июл-19
• Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Ktoto, 08:36 , 15-Июл-19
  • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 09:14 , 15-Июл-19
    • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 09:15 , 15-Июл-19
      • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,anonim6789900, 09:27 , 15-Июл-19
        • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,пох., 13:19 , 15-Июл-19
          • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,anonim6789900, 16:16 , 15-Июл-19
    • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Ktoto, 09:17 , 15-Июл-19
      • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 09:47 , 15-Июл-19
  • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 09:52 , 15-Июл-19
• Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Ktoto, 10:02 , 15-Июл-19
  • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 10:43 , 15-Июл-19
• Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 12:29 , 15-Июл-19
  • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 15:34 , 15-Июл-19
    • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним84701, 16:43 , 15-Июл-19
      • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 23:14 , 15-Июл-19
    • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Аноним, 23:47 , 15-Июл-19
      • Выпуск прокси-сервера  Squid 4.8 с устранением критической у...,Ононимко, 07:40 , 16-Июл-19

> переполнение буфера

Хм... Интересно, на каком языке написан squid. Наверное, на яваскрипте. На npm leftpad.

Сквид был написан еще во времена твоих памперсов, так что нет.

>> переполнение буфера
> Хм... Интересно, на каком языке написан squid. Наверное, на яваскрипте.

Хм… Интересно, на каких языках написаны применяемые в нашей реальности интерпретаторы и компиляторы-как-раз-вовремя для яваскрипта? Нeужто selfhosted, на JS или даже сразу нативны для современной архитектуры? o_O

Или
https://www.opennet.me/opennews/art.shtml?num=46283
> Из других исправленных уязвимостей можно отметить переполнение буфера в движке V8

Ой! Как же так?

>> Из других исправленных уязвимостей можно отметить переполнение буфера в движке V8

А движок v8 на JS написан с left-pad?

Если бы на JavaScript написали то проблем с переполнением не было бы.

https://github.com/squid-cache/squid
изучи, расскажешь

помнится о squid я услышал еще в 2001 году. а так он написан на с++ и первый выпуск был в 1996 году. так что это не какая то поделка на яваскрипт или электроне. но как у всех программ у него тоже встречаются дыры. у хелловордов разве что наверно нет))))

Squid Был написан на C.
Версия 4 была переписана на С++ фактически с нуля, что объясняет чудовищное количество проблем в этой ветке, и то, каким стремительным домкратом он за каких-то полгода (плюс-минус пара месяцев) пронесся от 4.0 к 4.8

На багрепорты разработчики уже совершенно официально отвечают, что пофиксят в 5 версии...

На C++ он был переписан в 3.x...

и все же чистый си остается вне конкуренции))) хотя плюсы ничего, но после их игр с ООП язык и правда получил кучу проблем. хотя сейчас я не видел языков без проблем. ни одного. а нет ассемблер)))

А что, C++ был раньше без ООП? ;)

я о том и писал, что как только они все поголовно в то время взялись за идею ООП в языках программирования, полезла куча дырявого и кривого кода. хотя как бы новая "веха" в программировании)). это правда жалость.

Написан на си

Переполнение буфера

Никогда такого не было и вот опять

А зачем сегодня squid если всё поголовно используют SSL ?

Во-первых, SSL уже никто не использует, все используют TLS. Во-вторых, squid умеет в TLS, но это сложно — ндо доку читать, ты не осилишь.

Совсем забыл: в-третьих, невзирая на вышенаписанное, squid и прочие прокси, конечно же, не нужны.

Как и многие провайдерские DPI (за много денег), на нем основанные :).

Как и всякие провайдерские ContentCache-ы, опять же на нем родимом основанные.

провайдеры, в XXI веке подсовывающие свою контент-кашу вместо интернета - не нужны, присоединяюсь к анониму.
Вместе со своими dpi.

Без локального (на стороне провайдера/CDN) кэширования, забудь про безлимитный ютюбчик/вотсапчик/онлайн-кинцо и прочие прелести "безлиминтого" интернета. Конечно пременяется там не только кальмар, но и нджинкс и самописные кеши, но по гамбургскому счету это все контент-кэш.

З.Ы.: А на предприятиях, так кальмар, вообще без вариантов.

это не меняет того факта что в шифрованый трафик squid заглянуть не может, но тебе ведь только ляпнуть чего нужно. Троль.

Читай про ssl-bumping до просветления.

Есть такая вещь, как "корпоративный прокси". Кешированием практически не занимается, но с успехом рулит доступом юзеров к сети, фильтрует контент и худо-бедно, со своей странной спецификой, но таки занимается дележом пропускной способности канала. А еще позволяет строить весьма интересные иерархические структуры из проксей, благодаря чему можно, например, обеспечивать пользователю географическое присутствие там, где ему нужно согласно данной конкретной задаче. И поголовное использование ssl/tls тут абсолютно параллельно.
В общем, читай рулезы, они рулез.

Мог сразу сказать что только как MiM, и не тратить моё время. Троль.

> Мог сразу сказать что только как MiM

Спасибо, Кэп!

боженьки божи, опять переполнение буфера. да что с этими программистами не так!

//опять молотком по пальцу, да что же с этим молотком?

> //опять молотком по пальцу, да что же с этим молотком?

Молотки, как и аналогии, разные бывают:
https://wiki.installgentoo.com/images/8/88/PHP_Hammer.jpg

Это не молоток, я тебя огорчу.

так если инструментом кто попало будет пользоваться, разумеется он себе пальцы поотшибает.
инструментом должны пользоваться профессионалы, а не дилетанты, внезапно.

А ты, я смотрю, професси-анал, правда?