Actualización de Squid para Red Hat Linux 9

Red Hat ha publicado un paquete de Squid que corrige una vulnerabilidad
en la decodificación de URLs y ofrece un nuevo tipo ACL para proteger
clientes vulnerables.

Squid es un proxy cache Web clásico, con gran cantidad de

funcionalidades (como soporte para HTTP, FTP, trabajo con SSL,

jerarquías de cache, etc.

Se ha descubierto un error en el

tratamiento de caracteres codificados con % en URLs en versiones

2.5.STABLE4 y anteriores de Squid. Si la configuración de dicho programa

utiliza listas de control de acceso (ACLs), un atacante remoto puede

crear URLs que no serán procesadas correctamente por Squid, lo que

permitiría a los clientes acceder a páginas que normalmente estarían

restringidas.

Además de corregir el problema, se ha añadido un

nievo tipo de control de acceso “urllogin” que puede ser usado para

proteger clientes de Microsoft Internet Explorer del acceso a URLs que

contengan información de acceso, ya que con frecuencia esas URLs son

utilizadas por webs fraudulentas para que los usuarios revelen

información sensible.

La configuración por defecto de Squid no

usa este nievo tipo de control de acceso, por lo que si se quiere

utilizar hay que especificarlo de forma explícita según las políticas

concretas del sitio en el que se utilice.

Las URLs para descargar

el paquete actualizado que corrige este problema son las siguientes

(según formato):

ftp://updates.redhat.com/9/en/os/SRPMS/squid-2.5.STABLE1-3.9.src.rpm

ftp://updates.redhat.com/9/en/os/i386/squid-2.5.STABLE1-3.9.i386.rpm