Vulnérabilités dans Squid

Date de publication :

Plusieurs vulnérabilités importantes ont été découvertes dans Squid, un serveur mandataire (proxy) libre. Elles peuvent permettre à un attaquant distant et non authentifié d’accéder à des données sensibles et de provoquer un déni de service.

CVE-2019-12528 [Score CVSS v3 : 7.5] : Un défaut dans la gestion des données de Squid a été découvert. Ce défaut peut permettre à un attaquant, à l’aide d’un serveur FTP malveillant, de faire fuiter des informations depuis la mémoire et ainsi accéder à des données sensibles telles que des informations sur les sessions des autres utilisateurs.

CVE-2020-8449 [Score CVSS v3 : 7.5] : Un problème de validation incorrecte d’entrées dans Squid peut provoquer une interprétation inattendue pour des requêtes HTTP. Un attaquant peut exploiter cette vulnérabilité en utilisant des requêtes HTTP spécialement conçues afin d’accéder à des ressources normalement non autorisées.

CVE-2020-8450 [Score CVSS v3 : 7.3] : Un problème dans la gestion de la mémoire tampon dans Squid lorsqu’il est utilisé en tant que mandataire inverse (reverse proxy) peut causer un dépassement de tampon.

CVE-2020-8517 [Score CVSS v3 : 7.5] : Ce problème est limité aux installations utilisant de binaire ext_lm_group_acl.

A cause d’un problème dans la validation des entrées, le parseur des authentifications NTLM peut écrire hors des limites mémoires accordées aux authentifications. Ceci peut provoquer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Fuite de données sensibles

Criticité

  • Score CVSS v3 : 7.5 maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible pour l’instant

Composants vulnérables

  • Squid 2.x jusqu’à la version 2.7.STABLE9
  • Squid 3.x jusqu’à la version 3.5.28
  • Squid 4.x jusqu’à la version 4.9

CVE

  • CVE-2019-12528
  • CVE-2020-8449
  • CVE-2020-8450
  • CVE-2020-8517

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour Squid vers la version 4.10.

Solution de contournement

  • Pour la CVE-2019-12528 :
    • Désactiver les fonctionnalités FTP
    • Si désactiver les fonctionnalités FTP n’est pas possible, Squid conseille d’enlever de squid.conf la ligne suivante : memory_pools off
  • Pour la CVE-2020-8517 :
    • Enlever « auth_param NTLM … » de squid.conf
    • Ou utiliser un binaire ext_lm_group_acl venant d’une version de Squid égale ou supérieure à la 4.10

Liens