Уязвимость в Squid 2.x

14/09/2004 09:45

M.A.Young сообщает об обнаруженной уязвимости в Squid, которая может быть использована для проведения DoS (Denial of Service) атаки на уязвимую систему из локальной сети. Уязвимость связана с ошибкой в функции "clientAbortBody()" при разыменовывании указателя и непроверке его на NULL. Теоретически уязвимость может быть задействована при посещении специально созданного веб-сайта через прокси и приводить к краху Squid-а. Выпущены патчи для версий 2.5.STABLE5 и 2.5.STABLE6. Однако, как заметили автору, опубликовавшему уязвимость, отказ функционирования SQUID происходит не в следствие переполнения буфера, а из-за попытки обращения за пределы размещённого блока памяти.
Подробное описание