Squid: encontrada vulnerabilidad de validación de certificados
Posteado Por CatrianTras su identificación, se ha solucionado una vulnerabilidad en Squid que permitía a un servidor evitar la validación de certificados cliente.
Squid es un servidor proxy para web con caché. Es una de las aplicaciones más populares y de referencia para esta función, software libre publicado bajo licencia GPL. Entre sus utilidades está la de mejorar el rendimiento de las conexiones de empresas y particulares a Internet guardando en caché peticiones recurrentes a servidores web y DNS, acelerar el acceso a un servidor web determinado o añadir seguridad realizando filtrados de tráfico.
Aunque orientado principalmente a HTTP y HTTPS soporta también otros protocolos como FTP e incluso Gopher. Implementa cifrado SSL/TLS tanto en la conexión al servidor web como a los navegadores y cualquier cliente web que lo soporte.
Squid es una aplicación muy consolidada en Internet. En desarrollo desde los años 1990, se le considera muy completo y robusto y es el software de referencia como servidor proxy-caché de web. Como muchas aplicaciones de software libre está incluido en distribuciones GNU/Linux pero se puede ejecutar también en entornos tipo Unix y hay algunas versiones para MS Windows.
Se había considerado como un fallo importante puesto que permitía que los servidores remotos realizaran la validación de certificados cliente. Según Hispasec @unaaldia: «El problema reside en la validación de los campos hostname/domain de un certificado X509. Algunos atacantes también pueden utilizar certificados válidos firmados por una Autoridad Certificadora para un dominio para abusar de un dominio ajeno. La vulnerabilidad, con CVE-2015-3455, solo es explotable en sistemas Squid con SSL-Bumb con el modo de operación client-first o bump».
En este caso, las versiones que se afectan son: Squid 3.2 a 3.2.13, Squid 3.3 a 3.3.13, Squid 3.4 a 3.4.12 y Squid 3.5 a 3.5.3.
Para versiones Squid 3.5.4, 3.4.13, 3.3.14 y 3.2.14 el problema se encuentra solucionado, se pueden aplicar os parches disponibles en squid:
Squid 3.2:
http://www.squid-cache.org/Versions/v3/3.2/changesets/squid-3.2-11836.patch
Squid 3.3:
http://www.squid-cache.org/Versions/v3/3.3/changesets/squid-3.3-12690.patch
Squid 3.4:
http://www.squid-cache.org/Versions/v3/3.4/changesets/squid-3.4-13222.patch
Squid 3.5:
http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13817.patch