CERT-Bund warnt vor mehreren Schwachstellen in der Squid Caching Proxy-Software, die zum 21. Oktober 2023 mit der Version 6.4 geschlossen wurden. Die Schwachstellen sind zum Teil kritisch, da sie eine Codeausführung ermöglichen. Wer diese Software einsetzt, sollte diese unverzüglich aktualisieren. Bei CERT-Bund heißt es aber, dass nicht alle Schwachstellen geschlossen seien.
Anzeige
Das Thema ist mir bereits mehrfach am Rand untergekommen – CERT-Bund warnt über nachfolgenden Tweet in diesem Artikel vor den Squid Caching Proxy-Schwachstellen.
Der IT-Sicherheitsforscher Joshua Rogers hat in einem Blogbeitrag am 11. Oktober 35 Zero-Day Schwachstellen veröffentlicht, die 2021 bei einem Sicherheits-Audit der Squid Caching Proxy-Software von ihm gefunden wurden.
Mit der Version 6.4 von Squid Caching Proxy werden vier, nach CVSS zum Teil als "kritisch" bewertete Schwachstellen geschlossen, die Denial-of-Service Angriffe und unter bestimmten Umständen auch Codeausführung ermöglichen. Den Schwachstellen wurden keine CVE-Nummern zugewiesen. Die Version 6.4 wurde am 21. Oktober 2023 veröffentlicht.
Anzeige
Damit wurde wohl nur ein Teil der 35 gefundenen Schwachstellen mit der neuen Version 6.4 behoben. Aufgrund geringer Personalkapazitäten des Open Source Projekts Squid sind bislang nicht alle Schwachstellen geschlossen worden. Die Projektverantwortlichen geben aber an, dass manche der Schwachstellen bereits in früheren Versionen geschlossen wurden und dass an Patches gearbeitet wird.
Squid ist ein freier Proxyserver und Web-Cache, der unter der GNU General Public License steht. Er zeichnet sich vor allem durch seine gute Skalierbarkeit aus. Squid unterstützt die Netzwerkprotokolle HTTP/HTTPS, FTP über HTTP und Gopher.
Anzeige
