Proxy: Mindestens 35 von 55 Sicherheitslücken klaffen in Squid
Ein IT-Sicherheitsforscher hat 55 Schwachstellen im Squid-Proxy Anfang 2021 aufgespürt. Davon sind derzeit noch 35 offen.
(Bild: Elle Aon / Shutterstock.com)
Der IT-Forscher Joshua Rogers hat sich den Web-Cache Squid genauer angesehen – Anfang 2021. Dabei stieß er auf 55 Sicherheitslücken. Zweieinhalb Jahre später stehen davon noch mindestens 35 offen.
In einem Blog-Eintrag erklärt Rogers, dass mehr als 2,5 Millionen Squid-Installationen im Netz zu finden seien. Mittels Fuzzing, manueller Code-Untersuchung und statischer Analyse habe er in Version 5.0.5, die im Februar 2021 aktuell war, 55 Lecks entdeckt und noch 26 weitere, nicht sicherheitsrelevante Fehler. Derzeit ist Squid 6.3 aktuell.
Umfassende Squid-Untersuchung
In nahezu allen Komponenten habe Rogers Fehler entdeckt: Forwarding Proxy, Reverse Proxy, in allen unterstützen Protokollen (http, https, https Intercept, urn, whois, hopher und ftp), Antworten, Anfragen, in "Helpers", DNS, ICAP, ESI und beim Caching. Auf Github pflegt er ein Archiv mit Details zu den meisten der Schwachstellen und liefert Proof-of-Concept-Code. Der führt vor, wie die Software abstürzt; ob und wie Schadcode durch die Schwachstellen eingeschleust werden kann, demonstriert Rogers nicht.
Das Squid-Team war laut dem in Polen lebenden australischen IT-Sicherheitsforscher hilfreich und unterstützend, als er die Sicherheitslücken gemeldet hat. Jedoch ist es personell unterbesetzt. Den Squid-Maintainern fehlen demnach schlicht die Ressourcen, um die Schwachstellen auszubessern. Das Team also mit Anfragen für Sicherheitsfixes zu bombardieren, führe nicht weit.
Der IT-Forscher listet 45 der Schwachstellen auf, acht davon haben entweder einen CVE-Eintrag oder einen Eintrag bei Github Security und somit eine Korrektur vorzuweisen. Rogers selbst spricht von 35 "0days", die noch offen seien. Angriffe auf die Lücken scheinen jedoch derzeit noch nicht zu laufen. Der Schweregrad der Schwachstellen wird zudem an keiner Stelle angegeben. Da die teilweise vorliegenden PoCs lediglich den Absturz der Software zeigen, bleibt unklar, ob sich die Lücken auch anders als für Denial-of-Service-Angriffe missbrauchen lassen, sprich, ob Angreifer darüber etwa Schadcode einschleusen, ausführen und Systeme übernehmen können.
IT-Verantwortliche, die derzeit auf Squid setzen, sollten sich zumindest temporär nach Alternativen umsehen. Durch die jetzt öffentlich bekannten Proof-of-Concepts könnten Cyberkriminelle möglicherweise Exploits entwickeln und Squid-Installationen angreifen. Ideal wäre, wenn sich weitere Software-Entwickler fänden, die das Squid-Projekt unterstützen und Fehler im Programmcode ausbessern können.
Themenseite zu Cybersecurity auf heise online
(dmk)
