Вышел Squid 3.0 с исправлением DoS уязвимости, 02.02.2010

Вышел Squid 3.0.STABLE23 с исправлением DoS уязвимости

Вышел релиз прокси-сервера 3.0.STABLE23 в котором устранена уязвимость, позволяющая злоумышленнику блокировать работу прокси-сервера. Проблема вызвана ошибкой в коде проверки DNS пакетов во встроенном DNS-резолвере. Инициировать атаку может любой пользователь, имеющий доступ к принимающему DNS запросы сетевому UDP порту. Номер порта выбирается при запуске squid случайным образом, но сохраняется до перезапуска программы. Как правило порт без проблем определяется злоумышленником путем сканирования.

Уязвимости подвержены все версии Squid-2.x, выпуски серии 3.0 до версии 3.0.STABLE22 включительно и экспериментальной серии 3.1 до версии 3.1.0.15 включительно. Для решения проблемы можно использовать специально подготовленный патч. В качестве временной защиты в файле конфигурации можно активировать опцию "ignore_unknown_nameservers" или блокировать поступление запросов к Squid с внешних DNS серверов, организовав на текущем сервере работу отдельного кэширующего DNS-сервера.

Техника проведения комплексной атаки наглядно описана в PDF-презентации, подготовленной для конференции Chaos Communication Congress и рассматривающей возможность подстановки содержимого в DNS кэш прокси-сервера Squid.


http://www.opennet.ru/opennews/art.shtml?num=25257

есть кто уже пробовал, озывы в студию:)

Вчера начал "по своему" настраивать заново сервер.
Одна из служб будет - сквида.

В теперешней конфигурации пару раз в неделю и-нет пропадает.
Когда оттестирую - отпишусь, если не забуду.