Envenenamiento en Squid por incumplimiento de especificaciones HTTP

squid

Al hilo de lo que se cuenta en Secunia, he estado explotando y reproduciendo el bug recientemente aparecido en el excelente gestor de proxy cache Squid, relativo al envenenamiento del mismo por incumplimiento de especificaciones HTTP

Las causas, según el boletín, están en un error en el manejo del caudal de entrada procedente de los agentes, al no cumplir Squid correctamente con las especificaciones HTTP. Esto podría desincronizar el flujo entre agente y squid, mediante, por ejemplo, el envío de peticiones que contuvieran espacios en blanco en las cabeceras. La desincronización, forzada maliciosamente, podría desencadenar en el envenenamiento del proxy cache. La severidad del problema ha sido calificada de baja.

El error es manifiesto en la versión 2.5.STABLE7 y anteriores, y para corregir el problema, se ha de actualizar a la versión 2.5.STABLE8. Las actualizaciones de Squid están disponibles en el repositorio STABLE y para los más aventureros, hay versiones de prueba en el repositorio DEVEL de la rama de desarrollo.

Saludos.