Vulnerabilidad de denegación de servicio (DoS) en producto Gopher Processing de Squid
20/06/2022
Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Gopher Processing de Squid, que permitiría a un atacante realizar denegación de servicios (DoS).
La vulnerabilidad CVE-2021-46784, con severidad crítica y puntuación asignada de 9.8. Esta vulnerabilidad se debe a una gestión inadecuada del búfer que permitiría a un atacante realizar denegación de servicio (DoS) en el servidor Gopher.
Las versiones afectadas son:
- Squid-3.x, versiones 3.5.28 y anteriores.
- Squid-4.x, versiones 4.17 y anteriores.
- Squid-5.x, versiones 5.5 y anteriores.
Se recomienda actualizar a la versión 5.6 del Squid mediante el siguiente enlace:
Adicionalmente, como medida de mitigación se recomienda, denegar el acceso a los recursos de gopher://, añadiendo las siguientes líneas al principio del archivo squid.conf:
- acl gopher proto gopher
- http_access deny gopher
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/denegacion-servicio-gopher-processing-squid
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-46784
- https://github.com/squid-cache/squid/security/advisories/GHSA-f5cp-6rh3-284w
- http://www.squid-cache.org/Support/mailing-lists.html