URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 120371
[ Назад ]
Исходное сообщение
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено opennews , 19-Апр-20 09:01
Раскрыты сведения об уязвимостях в прокси-сервере Squid, которые без лишней огласки были устранены ещё в прошлом году в выпуске Squid 4.8. Проблемы ( CVE-2019-12520, CVE-2019-12524) присутствуют в коде обработки URL и позволяют обойти правила ограничения доступа, отравить содержимое кэша и совершать атаку с использованием межсайтового скриптинга...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52765
Содержание
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 09:26 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 18:50 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Gogi, 17:40 , 20-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 10:01 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 12:10 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,rshadow, 13:01 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 13:07 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,user, 13:30 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 15:12 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,user, 15:49 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 19:07 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 23:15 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 18:56 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,хотел спросить, 12:24 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 15:28 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 15:46 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Annoynymous, 16:29 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,guest, 17:33 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Annoynymous, 17:46 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 19:10 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Annoynymous, 08:54 , 20-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 21:26 , 21-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Annoynymous, 23:03 , 21-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 21:42 , 22-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,АнонимусЪ, 18:30 , 21-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 21:24 , 21-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,СеменСеменыч777, 17:07 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,хотел спросить, 18:09 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,OpenEcho, 18:26 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,анончик, 21:43 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Ананимас008, 22:51 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,guest, 17:35 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,guest, 17:41 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 17:48 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,PnD, 12:25 , 20-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,guest, 18:13 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Аноним, 19:10 , 19-Апр-20
- Уязвимость в прокси-сервере Squid, позволяющая обойти ограни...,Gogi, 17:53 , 20-Апр-20
Сообщения в этом обсуждении
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 09:26
> отравить содержимое кэшаПроизвести инъекцию смертельного яда?
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 18:50
Т.е. терминологией не владеете. Ок.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Gogi , 20-Апр-20 17:40
Юмор отдавлен медведем при рождении, ясно.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 10:01
Вся ветка 4.х абсолютно неюзабельна. Вплоть до 4.5 squid жрал память как не в себя, так что каждые два часа приходилось убивать и заново стартовать процесс. Вообще непонятно, чем разрабы занимались, пиля эту версию. Такое впечатление, что все силы вбухали в перехват https (по заказу большого брата, ага), ибо ssl-bump - это единственное, что в 4.х наконец-таки стало работать, как задумано.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 12:10
Технология двойного назначения, для баннерорезок тоже нужно. Кстати, как с этим в privoxy?
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено rshadow , 19-Апр-20 13:01
Это все уже перетекло на клиента. Без проблем с перехватом https. Плюс каждый клиент может добавлять свои косметические фильтры.
Привокси в целом тормознутый. Хотя и справлялся с вырезанием для 1-2 клиентов.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 13:07
> Это все уже перетекло на клиента. В корпоративном сегменте за каждым клиентом не набегаешься. Так что вещь все-таки нужная. НО - не в ущерб же всему остальному!
Пулы задержки сломали напрочь, а на багрепорты спокойно отвечают, что де "да, знаем, но чинить не будем, потому что никто этим заниматься не хочет"
Та же фигня с кастомными сообщениями об ошибках. Все работает - но только с Http, который отовсюду уже де-факто выпилен.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено user , 19-Апр-20 13:30
>перетекло на клиентаИспользовал privoxy на локалхосте до массового https. Баннерорезки приходят и уходят, даже браузеры не вечные.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 15:12
> Это все уже перетекло на клиента.Ага, всякие фейковые Abblock Origin и uBlock Plus расцвели.
Нет уж, пусть лучше рекламу режет админ.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено user , 19-Апр-20 15:49
Благими намерениями...
Это цензура, говорю как пользователь баннерорезок.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 19:07
Дома можешь делать что угодно. Оператор не сможет тебе ничего порезать - вначале тебе надо сертификат подбросить.
А в корпорациях изволь соблюдать ЛНА и работать через централизованный прокси. Если он колет трафик то так и надо - это никакая не цензура.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 23:15
https://github.com/wheever/ProxHTTPSProxyMIIВ нагрузке не тестировал, для дома хватает, хоть одноплатник и грузит заметно
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 18:56
> жрал память как не в себя, так что каждые два часа приходилось убивать и заново стартовать процесс.в нашем случае это оказался кэш ACL у которого внезапно не оказалось никаких ограничений по размеру. Пришлось его вырезать.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено хотел спросить , 19-Апр-20 12:24
"cache deny all" решает проблему?
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 15:28
Откройте секрет - зачем может понадобится suid в 2020 году?
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 15:46
Когда лет через 10 ты окончишь школу и институт, тебя (возможно) возьмут на работу в средне-крупную компанию (где от 1000 юзеров в штате). Там и поймешь.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Annoynymous , 19-Апр-20 16:29
Вот я сейчас работаю в крупной компании, больше 10 тыс. юзеров в штате.Расскажи мне, а то мы может, что-то не то делаем без сквида-то.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено guest , 19-Апр-20 17:33
Наверное и авторизация по IP ).
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Annoynymous , 19-Апр-20 17:46
> Наверное и авторизация по IP ).Да. И домен. И внезапно появившийся неучтённый MAC адрес или IP будет доложен кому надо.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 19:10
Прямая организация доступа в интернет, используя прокси с прозрачной авторизацией. А не сборка из железа и клиентского ПО которая куда только не должна лезть для работоспособности.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Annoynymous , 20-Апр-20 08:54
> Прямая организация доступа в интернет, используя прокси с прозрачной авторизацией. А не
> сборка из железа и клиентского ПО которая куда только не должна
> лезть для работоспособности.Squid, как кеширующий прокси, для такой задачи слегка избыточен, не?
Или лучше просто не придумали?
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 21-Апр-20 21:26
А есть ещё варианты? Только пожалуйста без клиентской части на пользовательских машинах. Что мне попадалось кривое как неизвестно что.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Annoynymous , 21-Апр-20 23:03
Да хоть 3proxy, которая намного легче, а кеширование в эпоху https никому не надо.Но у нас нет проблемы «без клиентской части», поэтому мы всё это не используем. Я просто интересуюсь.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 22-Апр-20 21:42
Когда делаешь ссл-бампинг с кэшем трафика эффективность прыгает от 40 до 60%. Всплески бывают до 80%. Нормально так никому не надо? Единственное но. Голимый джавскрипт и его работа. Сайты бывают перестают работать и замучаешься восстанавливать работоспособность. Так что это не нужно совсем не из шифрования. А из-за непонятных, всплывающих проблем в работе джавакриптов.
Ну посмотрел я 3прокси. Как не умел в прозрачную керберос авторизацию, так и сейчас не умеет. Или уже прикрутили в каком-нибудь месте?
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено АнонимусЪ , 21-Апр-20 18:30
Так расскажите как у Вас устроено, а то все говорят прозрачны прокси, а как что, не добиться.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 21-Апр-20 21:24
А что там такого? Вяжешь машинку с доменом. Через хелпер объясняешь какие группы смотреть в тикетах. Прокси кидаешь в доверенную зону. Если ссл-бампинг делать всем ещё сертифкаты корневые подбрасываешь.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено СеменСеменыч777 , 19-Апр-20 17:07
> мы может, что-то не то делаем без сквида-то. может быть и такое.
как вы урезаете гугл-аналитику и яндекс-метрику ?
inb4 "я сижу под NDA кококо".
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено хотел спросить , 19-Апр-20 18:09
альтернатива VPN для доступа к нужным сайтамудобно вместе с FoxyProxy юзать, паттерны прописал и все норм
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено OpenEcho , 19-Апр-20 18:26
>зачем может понадобится suid в 2020 году?s/suid/squid/g
Вероятно потому, что еще есть народ и компании, которые не хотят чтобы у них крали их данные.
Если вы поставите в сети файрвол, который умеет следить и ограничивать исходящий трафик, то вы поймете, как сильно вас хотят поиметь. В конторах, заботящихся о секретах компании, а также просто люди не желающе быть эксперементальной крысой, закрывают весь исходящий трафик и открывают только выход в мир через прокси с авторизацией, где на прокси можо следить за перехваченным трафиком и принимать решение - позволить или нет такой трафик...
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено анончик , 19-Апр-20 21:43
а что, в 2020 году что-то ещё научилось в ICAP? я когда последний раз смотрел -- вариантов не было, ни nginx, ни haproxy в него не умели.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Ананимас008 , 19-Апр-20 22:51
можно менять банеры на картинки с котиками
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено guest , 19-Апр-20 17:35
И парсер логов lightsquid )))
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено guest , 19-Апр-20 17:41
10 000 пользователей через 1 внешний IP. И вы еще спрашиваете что вы делаете не так?
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 17:48
В свое время в одной сети продуктовых магазинов все магазины ходили через одну проксю правда на фрибсд. И всех все устраивало.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено PnD , 20-Апр-20 12:25
Ну поставьте 10 и балансировщик. Сложно?
Кэш даже если нужен (где? в тайге? в джунглях Амазонки? А откуда там тысячи коннектов?), много хитов не потеряете.
* О, припомнил что кальмар и балансировать умел, ещё в 200х. Так что, кэш и SSL-bump можно прямо на "фронтэнде" (со стороны клиентов) и дальше раскидать по "спикерам"-бэкэндам.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено guest , 19-Апр-20 18:13
А еще когда то на dial up сидели. И тоже всех устраивало, В СВОЕ ВРЕМЯ
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Аноним , 19-Апр-20 19:10
Золотое было время.
"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."
Отправлено Gogi , 20-Апр-20 17:53
Мне кажется или ошибки рода "специально сформированный URL" - это позорное позорище **овноразработчиков? В 21 веке не уметь парсить элементарные структуры... с проверкой на правильность... это *овнокод однозначно. Уверен, каждый из его разрабов с гордостью сообщает в CV, что он приложил руку к программе. А они не упоминают, какие ДЫРЫ они не закрыли?