Eine Sicherheitslücke in der Proxy-Software Squid kann dazu führen, dass Angreifer an Zugangsdaten gelangen. Die Entwickler stufen das Risiko mit Höchstwertung ein und stellen ein Update bereit, das die Schwachstelle ausbessert. IT-Verantwortliche sollten es zügig installieren.
Die Fehlerbeschreibung der Squid-Programmierer lautet: "Aufgrund einer fehlenden Maskierung der HTTP-Authentifizierungsdaten ist Squid anfällig für Angriffe zur Offenlegung von Informationen." Das Problem erlaube Skripten, Browser-Schutzmaßnahmen zu umgehen und an die Zugangsdaten von Clients zu gelangen. Ein Client aus dem Netz könnte Sicherheitstoken oder Zugangsdaten abgreifen, die Web-Apps intern nutzen, die Squid zum Load-Balancing einsetzen. Die Entwickler weisen zudem darauf hin, dass es zum Missbrauch der Schwachstelle nicht nötig ist, dass Squid mit HTTP-Authentifizierung konfiguriert wurde.
Die Entwickler stopfen das potenzielle Datenleck in Version 7.2 von Squid. Zudem steht der Patch auch für stabile Entwicklungsversionen zur Verfügung. Wer Squid als Paket einer Distribution einsetzt, sollte sich in der Softwareverwaltung nach Updates mit dem Sicherheitspatch umsehen. Als temporäre Gegenmaßnahme geben die Entwickler an, dass Squid-Admins Debug-Informationen in Administrator-Mailto-Links von Squid deaktivieren können. Das erledigt der Eintrag email_err_data off in der Datei squid.conf. Der Dienst liest die geänderte Konfiguration nach einem Neustart ein.
Ob die eigene Instanz verwundbar ist, soll der Aufruf von squid -k parse 2>&1 | grep "email_err_data" aufzeigen. Sofern das Ergebnis lautet email_err_data off, ist die Squid-Instanz nicht anfällig. Alle Squid-Versionen bis einschließlich 7.1 mit email_err_data on sind verwundbar, sowie alle Squid-Fassungen einschließlich 7.1 ohne Rückgabe zu email_err_data, erklären die Programmierer.
Ende 2023 hatte der IT-Sicherheitsforscher Joshua Rogers von 55 Sicherheitslücken im Web-Cache Squid berichtet, von denen zu dem Zeitpunkt noch mindestens 35 offenstanden. Die Programmierer hatten diese sukzessive geschlossen.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo