Neue Squid-Version behebt Denial-of-Service-Lücken
Drei Sicherheitsprobleme können dazu führen, dass der freie Web-Proxy Squid seinen Dienst verweigert. Admins sollten die bereitstehenden Updates einpflegen.
(Bild: 80's Child / Shutterstock.com)
Die Entwickler des freien Proxyservers Squid haben drei Sicherheitslücken behoben, die von Angreifern ausgenutzt werden können, um Denial-of-Service-Angriffe auszuführen. Eines der Sicherheitsprobleme war dem Squid-Team seit längerer Zeit bekannt, wurde aber aufgrund Personalmangels erst jetzt behoben.
Alle drei Sicherheitslücken werden von den Squid-Entwicklern mit 8.6 CVSS-Punkten bewertet, ihr Schweregrad ist gemäß der CVSS-Skala somit hoch. Diese Bewertung kommt unter anderem dadurch zustande, dass Angreifer die Bugs aus der Ferne und ohne Authentifizierung ausnutzen können – lediglich die Tatsache, dass "nur" ein Denial of Service möglich ist, rettet Squid vor dem CVSS-Highscore von 10.
Die Sicherheitslücken betreffen die folgenden Squid-Versionen:
- CVE-2023-49288 betrifft Squid-Installationen von 3.5 bis 5.9, sofern die Konfigurationseinstellung
collapsed_forwardingaktiviert ist (in Standardkonfigurationen deaktiviert), - CVE-2023-49286 betrifft alle Squid-Versionen vor 6.5 und
- CVE-2023-49285 betrifft alle Squid-Versionen von 2.2-5.9 sowie 6.0 bis 6.4.
Admins sollten die bereitstehenden Updates oder Patches einspielen.
Personalmangel behindert zügige Updates
Zumindest eine der Sicherheitslücken war dem Squid-Projekt bereits seit Längerem bekannt. Der DoS-Bug mit der CVE-Kennung CVE-2023-49286 taucht in einer Liste mit über 50 teilweise jahrealten Squid-Lücken auf, die ein IT-Forscher im Oktober veröffentlichte. Seitdem arbeitet das Entwicklerteam, das unter großem Personalmangel leidet, immer wieder Fehler aus dieser Liste ab, so auch mit einem Sicherheits-Update Ende Oktober dieses Jahres. (cku)
