Neues aus der IT-Welt

Eine Sicherheitslücke in der Proxy-Software Squid kann dazu führen, daß Angreifer an Zugangsdaten gelangen. Die Entwickler stufen das Risiko mit Höchstwertung ein und stellen ein Update bereit, das die Schwachstelle ausbessert. IT-Verantwortliche sollten es zügig installieren.

Die Fehlerbeschreibung der Squid-Programmierer lautet: "Aufgrund einer fehlenden Maskierung der HTTP-Authentifizierungsdaten ist Squid anfällig für Angriffe zur Offenlegung von Informationen." Das Problem erlaube Skripten, Browser-Schutzmaßnahmen zu umgehen und an die Zugangsdaten von Clients zu gelangen. Ein Client aus dem Netz könnte Sicherheitstoken oder Zugangsdaten abgreifen, die Web-Apps intern nutzen, die Squid zum Load-Balancing einsetzen. Die Entwickler weisen zudem darauf hin, daß es zum Mißbrauch der Schwachstelle nicht nötig ist, daß Squid mit HTTP-Authentifizierung konfiguriert wurde.

Die Entwickler stopfen das potenzielle Datenleck in Version 7.2 von Squid. Zudem steht der Patch auch für stabile Entwicklungsversionen zur Verfügung. Wer Squid als Paket einer Distribution einsetzt, sollte sich in der Softwareverwaltung nach Updates mit dem Sicherheitspatch umsehen. Als temporäre Gegenmaßnahme geben die Entwickler an, daß Squid-Admins Debug-Informationen in Administrator-Mailto-Links von Squid deaktivieren können. Das erledigt der Eintrag email_err_data off in der Datei squid.conf. Der Dienst liest die geänderte Konfiguration nach einem Neustart ein.

Ob die eigene Instanz verwundbar ist, soll der Aufruf von squid -k parse 2>&1 | grep "email_err_data" aufzeigen. Sofern das Ergebnis lautet email_err_data off, ist die Squid-Instanz nicht anfällig. Alle Squid-Versionen bis einschließlich 7.1 mit email_err_data on sind verwundbar, sowie alle Squid-Fassungen einschließlich 7.1 ohne Rückgabe zu email_err_data, erklären die Programmierer.