ASA-2018-00011 – Squid: Cross-Site Scripting no processamento de erro TLS


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00011

Identificador(es)

ASA-2018-00011, SQUID-2018:4

Título

Cross-Site Scripting no processamento de erro TLS

Produto(s)

Squid

Versão(ões) afetada(s)

Squid 3.1.12.1 -> 3.1.23
Squid 3.2.0.4 -> 3.5.28
Squid 4.0 -> 4.3

Versão(ões) corrigida(s)

Squid 4.4

Prova de conceito

Desconhecido

Descrição

Devido a gerenciamento incorreto de entrada de dados, Squid é vulnerável a ataques de Cross-Site Scripting ao gerar mensagens de resposta HTTPS sobre erros de TLS.

Vários campos de certificados X.509 pode contar tags HTML e não estavam sendo corretamente codificados antes de inserir em páginas de erro HTML gerada pelo proxy. Este problema permite um atacante criar certificados X.509 que emita erros e altere como a página de erro é exibida para clientes como navegadores.

Referência(s)

Squid Proxy Cache Security Update Advisory SQUID-2018:4
http://www.squid-cache.org/Advisories/SQUID-2018_4.txt

Squid Proxy multiple vulnerabilities
https://seclists.org/oss-sec/2018/q4/101


Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 7 de novembro de 2018