Aufgrund einer fehlerhaften Datenvalidierung ist Squid bei der Verarbeitung speziell gestalteter DNS-Pakete anfällig für einen Denial-of-Service-Angriff.
Betroffene Versionen
Squid-Versionen, die noch den veralteten dnsserver verwenden, sind nicht betroffen.
Die Option ignore_unknown_nameservers beeinflusst den Schweregrad dieser Sicherheitslücke. Bei der Einstellung on (Standard) ist das Risiko gering. Bei der Einstellung off ist das Risiko erhöht.
- Alle ungepatchten Squid-3.0-Versionen bis einschließlich 3.0.STABLE21 sind anfällig.
- Alle ungepatchten Squid-3.1-Versionen bis einschließlich 3.1.0.15 sind anfällig.
- Alle ungepatchten Squid-2.x-Versionen sind anfällig.
Abhilfemaßnahmen
Um einen anfälligen Squid vor dieser und anderen Formen von DNS-Angriffen zu schützen, müssen alle folgenden Schritte durchgeführt werden.
- Stelle sicher, dass
ignore_unknown_nameserversaufongesetzt ist. - Stelle sicher, dass keine DNS-Pakete von nicht vertrauenswürdigen Nameservern oder anderen Rechnern an Squid gesendet werden können.
Die sicherste Umsetzung dieser Anforderungen ist die Verwendung eines Nameservers, der auf der localhost-IP läuft und ausschließlich für die sichere Nutzung durch Squid und alle anderen Dienste auf dem Squid-Rechner vorgesehen ist.
Sicherheitshinweis
Link zum vollständigen Sicherheitshinweis: http://www.squid-cache.org/Advisories/SQUID-2010_1.txt