Akibat validasi data yang tidak tepat, Squid rentan terhadap serangan denial of service saat memproses paket DNS yang dirancang khusus.
Versi yang Rentan
Squid yang masih menggunakan dnsserver yang sudah usang tidak rentan.
Opsi ignore_unknown_nameservers memengaruhi tingkat keparahan kerentanan ini. Jika disetel ke on (default), risikonya rendah. Jika disetel ke off, risiko kerentanan meningkat.
- Semua versi Squid-3.0 yang belum diperbarui hingga dan termasuk 3.0.STABLE21 rentan.
- Semua versi Squid-3.1 yang belum diperbarui hingga dan termasuk 3.1.0.15 rentan.
- Semua versi Squid-2.x yang belum diperbarui rentan.
Solusi Sementara
Langkah-langkah berikut ini harus dilakukan secara keseluruhan untuk melindungi Squid yang rentan dari serangan DNS ini dan bentuk serangan DNS lainnya.
- Pastikan opsi
ignore_unknown_nameserversdiaktifkan (on). - Pastikan paket DNS tidak dapat dikirim ke Squid dari server nama yang tidak tepercaya atau mesin lain.
Penerapan paling aman dari persyaratan ini adalah dengan menggunakan server nama yang berjalan di alamat IP localhost yang didedikasikan untuk penggunaan aman oleh Squid dan layanan lain apa pun pada mesin Squid.
Pemberitahuan
Tautan ke pemberitahuan lengkap: http://www.squid-cache.org/Advisories/SQUID-2010_1.txt