Actualización de Squid para Red Hat Enterprise Linux
Red Hat ha publicado una actualización de Squid para diversas versiones de su Enterprise Linux debido a que se han descubierto en dicho componente diversas vulnerabilidades que pueden ser explotadas para acceder a información sensible o provocar denegaciones de servicio.
Las versiones actualizadas son Red Hat Desktop 3 y 4; Red Hat Enterprise Linux AS 2.1, 3 y 4; Red Hat Enterprise Linux ES 2.1, 3 y 4; Red Hat Enterprise Linux WS 3 y 4 y Red Hat Linux Advanced Workstation 2.1 para Itanium.
* La primera vulnerabilidad se debe a un error a la hora de devolver mensajes cuando se tratan nombres de host malformados. Esto puede ser explotado en ciertas circunstancias para acceder a información aleatoria.
* Otra se debe a un error sin especificar en la función ‘sslConnectTimeout()’ cuando trata peticiones maliciosas. Un atacante podrá aprovecharlo para cesar la ejecución de Squid.
* El último de los problemas corregidos se debe a un error in especificar en la función ‘storeBuffer()’ a la hora de tratar peticiones abortadas. Esto también puede explotarse para tirar el servidor proxy.
La compañía recomienda actualizar los sistemas afectados desde Red Hat Network: http://rhn.redhat.com/