Squid w wersjach wcześniejszych niż 7.2 nie usuwa właściwie danych uwierzytelniających HTTP z komunikatów o błędach, co prowadzi do ujawnienia poufnych informacji. Podatność jest szczególnie groźna, ponieważ umożliwia skryptom obejście zabezpieczeń przeglądarki i przechwycenie tokenów lub haseł używanych przez zaufanych klientów.
▸ Pokaż oryginał (EN)
Squid is a caching proxy for the Web. In Squid versions prior to 7.2, a failure to redact HTTP authentication credentials in error handling allows information disclosure. The vulnerability allows a script to bypass browser security protections and learn the credentials a trusted client uses to authenticate. This potentially allows a remote client to identify security tokens or credentials used internally by a web application using Squid for backend load balancing. These attacks do not require Squid to be configured with HTTP authentication. The vulnerability is fixed in version 7.2. As a workaround, disable debug information in administrator mailto links generated by Squid by configuring squid.conf with email_err_data off.
W wyniku błędu w mechanizmie obsługi wyjątków (CWE-209, CWE-550) Squid ujawnia w komunikatach o błędach dane uwierzytelniające HTTP, które powinny być zredagowane przed wyświetleniem. Złośliwy skrypt może odczytać te dane z treści odpowiedzi błędu, omijając przy tym standardowe zabezpieczenia przeglądarki. Atak nie wymaga, aby Squid był skonfigurowany z obsługą uwierzytelniania HTTP — wystarczy, że proxy przetwarza ruch aplikacji webowych korzystających z Squid do load balancingu backendu.
Zdalny atakujący może uzyskać tokeny bezpieczeństwa lub dane uwierzytelniające używane wewnętrznie przez aplikacje webowe, potencjalnie przejmując sesje lub uzyskując nieautoryzowany dostęp do chronionych zasobów.
Należy zaktualizować Squid do wersji 7.2, w której podatność została naprawiona. Jako obejście tymczasowe (workaround) można wyłączyć dołączanie informacji debugowania do linków mailto administratora, dodając do pliku squid.conf dyrektywę: email_err_data off.
Squid-Cache Squid we wszystkich wersjach wcześniejszych niż 7.2
Pomimo oceny CVSS 10.0 (CRITICAL) podatność nie figuruje w katalogu CISA KEV i nie jest potwierdzony publiczny exploit. Wektor ataku jest sieciowy, bez wymagań co do uprawnień i interakcji użytkownika, jednak wpływ na integralność i dostępność jest oceniony jako brak (N), co ogranicza skutki wyłącznie do ujawnienia poufnych informacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:NSquid Cache Squid
APPSquid-Cache< 7.2
Powiązane podatności
Squid: Use-After-Free w obsłudze ruchu ICP umożliwia atak DoS
Heap buffer overflow w Squid podczas przetwarzania URN – możliwy RCE
SQUID is vulnerable to HTTP request smuggling, caused by chunked decoder lenience, allows a remote attacker to...
An issue was discovered in http/ContentLengthInterpreter.cc in Squid before 4.12 and 5.x before 5.0.3. A Reque...
An issue was discovered in Squid before 5.0.2. A remote attacker can replay a sniffed Digest Authentication no...