Раскрыты сведения об уязвимостях в прокси-сервере Squid, которые без лишней огласки были устранены ещё в прошлом году в выпуске Squid 4.8. Проблемы ( CVE-2019-12520, CVE-2019-12524) присутствуют в коде обработки URL и позволяют обойти правила ограничения доступа, отравить содержимое кэша  и совершать атаку с использованием межсайтового скриптинга...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52765

• Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 09:26 , 19-Апр-20
  • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 18:50 , 19-Апр-20
    • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Gogi, 17:40 , 20-Апр-20
• Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 10:01 , 19-Апр-20
  • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 12:10 , 19-Апр-20
    • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,rshadow, 13:01 , 19-Апр-20
      • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 13:07 , 19-Апр-20
      • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,user, 13:30 , 19-Апр-20
      • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 15:12 , 19-Апр-20
        • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,user, 15:49 , 19-Апр-20
          • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 19:07 , 19-Апр-20
    • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 23:15 , 19-Апр-20
  • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 18:56 , 19-Апр-20
• Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,хотел спросить, 12:24 , 19-Апр-20
• Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 15:28 , 19-Апр-20
  • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 15:46 , 19-Апр-20
    • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Annoynymous, 16:29 , 19-Апр-20
      • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,guest, 17:33 , 19-Апр-20
        • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Annoynymous, 17:46 , 19-Апр-20
      • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 19:10 , 19-Апр-20
        • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Annoynymous, 08:54 , 20-Апр-20
          • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 21:26 , 21-Апр-20
            • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Annoynymous, 23:03 , 21-Апр-20
              • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 21:42 , 22-Апр-20
        • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,АнонимусЪ, 18:30 , 21-Апр-20
          • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 21:24 , 21-Апр-20
      • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,СеменСеменыч777, 17:07 , 19-Апр-20
  • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,хотел спросить, 18:09 , 19-Апр-20
  • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,OpenEcho, 18:26 , 19-Апр-20
  • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,анончик, 21:43 , 19-Апр-20
  • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Ананимас008, 22:51 , 19-Апр-20
• Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,guest, 17:35 , 19-Апр-20
• Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,guest, 17:41 , 19-Апр-20
  • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 17:48 , 19-Апр-20
  • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,PnD, 12:25 , 20-Апр-20
• Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,guest, 18:13 , 19-Апр-20
  • Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 19:10 , 19-Апр-20
• Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Gogi, 17:53 , 20-Апр-20

> отравить содержимое кэша

Произвести инъекцию смертельного яда?

Т.е. терминологией не владеете. Ок.

Юмор отдавлен медведем при рождении, ясно.

Вся ветка 4.х абсолютно неюзабельна. Вплоть до 4.5 squid жрал память как не в себя, так что каждые два часа приходилось убивать и заново стартовать процесс. Вообще непонятно, чем разрабы занимались, пиля эту версию. Такое впечатление, что все силы вбухали в перехват https (по заказу большого брата, ага), ибо ssl-bump - это единственное, что в 4.х наконец-таки стало работать, как задумано.

Технология двойного назначения, для баннерорезок тоже нужно. Кстати, как с этим в privoxy?

Это все уже перетекло на клиента. Без проблем с перехватом https. Плюс каждый клиент может добавлять свои косметические фильтры.
Привокси в целом тормознутый. Хотя и справлялся с вырезанием для 1-2 клиентов.

> Это все уже перетекло на клиента.

В корпоративном сегменте за каждым клиентом не набегаешься. Так что вещь все-таки нужная. НО - не в ущерб же всему остальному!
Пулы задержки сломали напрочь, а на багрепорты спокойно отвечают, что де "да, знаем, но чинить не будем, потому что никто этим заниматься не хочет"
Та же фигня с кастомными сообщениями об ошибках. Все работает - но только с Http, который отовсюду уже де-факто выпилен.

>перетекло на клиента

Использовал privoxy на локалхосте до массового https. Баннерорезки приходят и уходят, даже браузеры не вечные.

> Это все уже перетекло на клиента.

Ага, всякие фейковые Abblock Origin и uBlock Plus расцвели.
Нет уж, пусть лучше рекламу режет админ.

Благими намерениями...
Это цензура, говорю как пользователь баннерорезок.

Дома можешь делать что угодно. Оператор не сможет тебе ничего порезать - вначале тебе надо сертификат подбросить.
А в корпорациях изволь соблюдать ЛНА и работать через централизованный прокси. Если он колет трафик то так и надо - это никакая не цензура.

https://github.com/wheever/ProxHTTPSProxyMII

В нагрузке не тестировал, для дома хватает, хоть одноплатник и грузит заметно

> жрал память как не в себя, так что каждые два часа приходилось убивать и заново стартовать процесс.

в нашем случае это оказался кэш ACL у которого внезапно не оказалось никаких ограничений по размеру. Пришлось его вырезать.

"cache deny all" решает проблему?

Откройте секрет - зачем может понадобится suid в 2020 году?

Когда лет через 10 ты окончишь школу и институт, тебя (возможно) возьмут на работу в средне-крупную компанию (где от 1000 юзеров в штате). Там и поймешь.

Вот я сейчас работаю в крупной компании, больше 10 тыс. юзеров в штате.

Расскажи мне, а то мы может, что-то не то делаем без сквида-то.

Наверное и авторизация по  IP ).

> Наверное и авторизация по  IP ).

Да. И домен. И внезапно появившийся неучтённый MAC адрес или IP будет доложен кому надо.

Прямая организация доступа в интернет, используя прокси с прозрачной авторизацией. А не сборка из железа и клиентского ПО которая куда только не должна лезть для работоспособности.

> Прямая организация доступа в интернет, используя прокси с прозрачной авторизацией. А не
> сборка из железа и клиентского ПО которая куда только не должна
> лезть для работоспособности.

Squid, как кеширующий прокси, для такой задачи слегка избыточен, не?

Или лучше просто не придумали?

А есть ещё варианты? Только пожалуйста без клиентской части на пользовательских машинах. Что мне попадалось кривое как неизвестно что.

Да хоть 3proxy, которая намного легче, а кеширование в эпоху https никому не надо.

Но у нас нет проблемы «без клиентской части», поэтому мы всё это не используем. Я просто интересуюсь.

Когда делаешь ссл-бампинг с кэшем трафика эффективность прыгает от 40 до 60%. Всплески бывают до 80%. Нормально так никому не надо? Единственное но. Голимый джавскрипт и его работа. Сайты бывают перестают работать и замучаешься восстанавливать работоспособность. Так что это не нужно совсем не из шифрования. А из-за непонятных, всплывающих проблем в работе джавакриптов.
Ну посмотрел я 3прокси. Как не умел в прозрачную керберос авторизацию, так и сейчас не умеет. Или уже прикрутили в каком-нибудь месте?

Так расскажите как у Вас устроено, а то все говорят прозрачны прокси, а как что, не добиться.

А что там  такого? Вяжешь машинку с доменом. Через хелпер объясняешь какие группы смотреть в тикетах. Прокси кидаешь в доверенную зону. Если ссл-бампинг делать всем ещё сертифкаты корневые подбрасываешь.

> мы может, что-то не то делаем без сквида-то.

может быть и такое.
как вы урезаете гугл-аналитику и яндекс-метрику ?

inb4 "я сижу под NDA кококо".

альтернатива VPN для доступа к нужным сайтам

удобно вместе с FoxyProxy юзать, паттерны прописал и все норм

>зачем может понадобится suid в 2020 году?

s/suid/squid/g

Вероятно потому, что еще есть народ и компании, которые не хотят чтобы у них крали их данные.
Если вы поставите в сети файрвол, который умеет следить и ограничивать исходящий трафик, то вы поймете, как сильно вас хотят поиметь. В конторах, заботящихся о секретах компании, а также просто люди не желающе быть эксперементальной крысой, закрывают весь исходящий трафик и открывают только выход в мир через прокси с авторизацией, где на прокси можо следить за перехваченным трафиком и принимать решение - позволить или нет такой трафик...    

а что, в 2020 году что-то ещё научилось в ICAP? я когда последний раз смотрел -- вариантов не было, ни nginx, ни haproxy в него не умели.

можно менять банеры на картинки с котиками

И парсер логов lightsquid )))

10 000 пользователей через 1 внешний IP. И вы еще спрашиваете что вы делаете не так?

В свое время в одной сети продуктовых магазинов все магазины ходили через одну проксю правда на фрибсд. И всех все устраивало.

Ну поставьте 10 и балансировщик. Сложно?
Кэш даже если нужен (где? в тайге? в джунглях Амазонки? А откуда там тысячи коннектов?), много хитов не потеряете.
* О, припомнил что кальмар и балансировать умел, ещё в 200х. Так что, кэш и SSL-bump можно прямо на "фронтэнде" (со стороны клиентов) и дальше раскидать по "спикерам"-бэкэндам.

А еще когда то на dial up сидели. И тоже всех устраивало, В СВОЕ ВРЕМЯ

Золотое было время.

Мне кажется или ошибки рода "специально сформированный URL" - это позорное позорище **овноразработчиков? В 21 веке не уметь парсить элементарные структуры... с проверкой на правильность... это *овнокод однозначно. Уверен, каждый из его разрабов с гордостью сообщает в CV, что он приложил руку к программе. А они не упоминают, какие ДЫРЫ они не закрыли?