VulDB: Squid bis 2.6.STABLE7 korrupte FTP-URL Denial of Service
Allgemein
scipID: 2835
Betroffen: Squid bis 2.6.STABLE7
Veröffentlicht: 16.01.2007 (Squid Team)
Risiko: 
kritisch
Beschreibung
Squid ist ein open-source Projekt, das einen freien und hochskalierbaren Proxy für Unix-Systeme zur Verfügung stellt. Es werden Protokolle wie HTTP und FTP sowie Funktionalitäten wie SSL-Unterstützung, Chache-Hierarchien und Zugriffskontrolllisten bereitgestellt. Seit längerer Zeit wurden wieder einmal zwei Schwachstellen in der beliebten Lösung gefunden. Eine davon ist auf die Verarbeitung korrupter FTP-URLs zurückzuführen, wodurch sich der Proxy abstürzen lässt. Weitere Details oder ein Exploit zur Denial of Service-Schwachstelle sind nicht bekannt. Dem Problem wurde durch eine aktualisierte Version Rechnung getragen.
Ein interessanter Angriff, der indirekt von Extern über einen regulären Datenstream ausgeführt werden kann, was relativ selten ist. Popularität wird der Angriff eher weniger erreichen – So wird er voraussichtlich eher im Zusammenhang mit anderen, konstruktiven und grösser angelegten Attacken im Verbund genutzt werden.
Exploiting
Klasse: Denial of Service
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 24226 (Name: Fedora 5 2007-092: squid
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: http://www.squid-cache.org/bugs/show_bug.cgi?id=1857
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE7-RELEASENOTES.html#s12
Snort: 10135 (DOS Squid proxy FTP denial of service attempt)
Pattern: GET
Quellen
Advisory: http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE7-RELEASENOTES.html#s12
CVE: CVE-2007-0247
OSVDB: 39839
Securityfocus: 22079
Secunia: 23946
X-Force: 31523
Securitytracker: –
VUPEN: ADV-2007-0199
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
