Debido a una validación de datos incorrecta, Squid es vulnerable a un ataque de denegación de servicio al procesar paquetes DNS especialmente diseñados.
Versiones vulnerables
Las versiones de Squid que siguen utilizando el servidor DNS obsoleto no son vulnerables.
La opción ignore_unknown_nameservers influye en la gravedad de esta vulnerabilidad. Si está en on (por defecto), el riesgo es bajo. Si está en off, el riesgo de vulnerabilidad aumenta.
- Todas las versiones de Squid-3.0 sin parchear, hasta la 3.0.STABLE21 incluida, son vulnerables.
- Todas las versiones sin parchear de Squid-3.1, hasta la 3.1.0.15 incluida, son vulnerables.
- Todas las versiones sin parchear de Squid-2.x son vulnerables.
Soluciones provisionales
Es necesario seguir todos los pasos que se indican a continuación para proteger un Squid vulnerable frente a este y otros tipos de ataques DNS.
- Asegúrate de que la opción
ignore_unknown_nameserversesté activada (on). - Asegúrate de que no se puedan enviar paquetes DNS a Squid desde servidores de nombres no fiables u otras máquinas.
La forma más segura de cumplir estos requisitos es utilizar un servidor de nombres que se ejecute en la IP de localhost, dedicada exclusivamente al uso seguro por parte de Squid y cualquier otro servicio de la máquina donde se ejecute Squid.
Aviso
Enlace al aviso completo: http://www.squid-cache.org/Advisories/SQUID-2010_1.txt