[SECURITY-L] CAIS-Alerta: Vulnerabilidade no Squid 2.x

CSIRT - UNICAMP security em unicamp.br
Sex Jan 21 10:20:39 -02 2005 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Vulnerabilidade no Squid 2.x
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 14 Jan 2005 18:14:59 -0200 (BRDT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' repassando o boletim de seguranca da Secunia, intitulado 
"Squid Two Vulnerabilities", que trata de duas vulnerabilidades no 
software Squid Web Proxy Cache. Se exploradas, as vulnerabilidades podem 
causar uma condicao de negacao de servico (DoS) ou ate' mesmo comprometer 
o sistema vulneravel.


. Vulnerabilidade 1:

Um erro na checagem de dados em mensagens do tipo "WCCP_I_SEE_YOU" pode 
ser explorado para interromper o Squid, atraves do envio de um datagrama 
UDP especialmente montado contendo um falso endereco IP do roteador WCCP 
(Protocolo de Comunicacao de Cache Web). O WCCP e' um protocolo criado 
pela CISCO para proxy transparente entre roteadores CISCO e alguns 
servidores proxy.

O sucesso na exploracao desta falha necessita que o WCCP esteja ativo (o
que difere da configuracao padrao).


. Vulnerabilidade 2:

Um erro de limite na funcao "gopherToHTML()" pode ser explorado atraves de 
um servidor de Gopher malicioso, que pode responder com uma linha muito 
longa, causando um estouro de buffer ("buffer overflow") e possibilitando 
a execucao de codigo remoto. O Gopher e' um servico antigo de navegacao, 
semelhante ao WWW.


Sistemas afetados:

. Squid Web Proxy Cache 2.x


Correcoes disponiveis:

Recomenda-se fazer a atualizacao para as versoes disponiveis em:

. Squid Web Proxy Cache 2.x

  Vulnerabilidade 1:
  http://www.squid-cache.org/Versions/v2/2.5/bugs/squid-2.5.STABLE7-wccp_denial_of_service.patch

  Vulnerabilidade 2:
  http://www.squid-cache.org/Versions/v2/2.5/bugs/squid-2.5.STABLE7-gopher_html_parsing.patch


Mais informacoes:

. Squid Two Vulnerabilities
  http://secunia.com/advisories/13825/

. Denial of service with forged WCCP messages
  http://www.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE7-wccp_denial_of_service

. Buffer overflow bug in gopherToHTML()
  http://www.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE7-gopher_html_parsing


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as ultimas versoes e 
correcoes oferecidas pelos fabricantes.

Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:

http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,



################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQCVAwUBQegoSukli63F4U8VAQF8SQQAhtW1hukEvdyuju100lMQOn494f72fyGb
MN4ygj2dYTUSdA/XPXNrpU/r4ttTP2qnbV0MAs+5KcwgUvMSA0DbEkZ2hHwFc87V
Ssq4Ta6Z8DIxdlAUFCRzIvD1Lced857WsnzlDRlK159K4QFtQnGJPdcTEI8xoP7k
roFGCQ5fW6Y=
=4065
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L