============================================================================= FreeBSD-SA-01:61 Security Advisory FreeBSD, Inc. トピック: accelerator-only モードの Squid が ACL を無視する カテゴリ: ports モジュール: squid22, squid23, squid24 告知日: 2001-10-08 クレジット: Paul Nasrat 影響範囲: 修正日以前の ports コレクション 修正日: 2001-07-29 12:29:00 (squid23) 2001-08-28 16:48:35 2001 UTC (squid24) FreeBSD 固有: NO I. 背景 - Background The Squid Internet Object Cache is a web proxy/cache. Squid Internet Object Cache はウェブプロキシ/キャッシュである。 II. 問題の詳細 - Problem Description If squid is configured in acceleration-only mode (http_accel_host is set, but http_accel_with_proxy is off), then as a result of a bug, access control lists (ACLs) are ignored. squid が acceleration-only モード(http_accel_host がセットされ、 http_accel_with_proxy がオフのとき)に設定された場合、バグのために アクセス制御リスト (ACL) が無視される。 III. 影響範囲 - Impact A remote attacker may use the squid server in order to issue requests to hosts that are otherwise inaccessible. Because the squid server processes these requests as HTTP requests, the attacker cannot send or retrieve arbitrary data. However, the attacker could use squid's response to determine if a particular port is open on a victim host. Therefore, the squid server may be used to conduct a port scan. リモートの攻撃者が、他の方法ではアクセスできないホストに対してリクエスト を発行するために、squid サーバを利用する可能性がある。squid サーバは そのリクエストを HTTP リクエストとして処理するため、攻撃者が任意のデータを 送受信することはできない。しかし攻撃者は、目標のホストの特定のポートが オープンしているか調査するために squid の応答を利用できる。 IV. 回避方法 - Workaround 1) Do not run squid in acceleration-only mode. 1) squid を acceleration-only モードで実行しない。 2) Deinstall the squid port/package if you have it installed. 2) もしインストールしているなら、squid port/package を削除する。 V. 解決法 - Solution The port squid-2.3_1 and later 2.3 versions, and the port squid-2.4_5 and later 2.4 versions include fixes for this vulnerability. The squid-2.3 and squid-2.2 ports have been deprecated and removed from the ports collection, and users are advised to upgrade to squid-2.4 as soon as possible. squid-2.3_1 の ports と 2.3 以降のバージョン、および squid-2.4_5 の ports と 2.4 以降のバージョンはこの脆弱性の修正を含んでいる。squid-2.3 と squid-2.2 の ports は、問題が指摘されたため ports コレクションから削除された。ユーザには できるだけ早く squid-2.4 へアップグレードするように通知された。 1) Upgrade your entire ports collection and rebuild the squid port. 1) ports コレクション全体をアップグレードし、squid の ports をリビルドする。 2) Deinstall the old package and install a new package dated after the correction date, obtained from the following directories: 2) 古いパッケージを削除し、以下の場所から入手した修正日以降の日付の新しい パッケージをインストールする。 [i386] ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/www/squid-2.3_1.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/www/squid-2.4_5.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/www/squid-2.3_1.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/www/squid-2.4_5.tgz [alpha] Packages are not automatically generated for the alpha architecture at this time due to lack of build resources. ビルドのためのリソースが不足しているため、現時点では alpha アーキテクチャ 用のパッケージは自動的に作成されない。 3) Download a new port skeleton for the procmail port from: 3) 以下から procmail 用の新しい port スケルトンをダウンロードする。 http://www.freebsd.org/ports/ and use it to rebuild the port. そしてこれを使って port をリビルドする。 4) Use the portcheckout utility to automate option (3) above. The portcheckout port is available in /usr/ports/devel/portcheckout or the package can be obtained from: 4) 上記の選択肢 (3) を自動化するため、portcheckout ユーティリティを使う。 portcheckout の port は、/usr/ports/devel/portcheckout か以下から入手できる パッケージが利用できる: ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/devel/portcheckout-2.0.tgz VI. 修正の詳細 - Correction details The following list contains the revision numbers of each file that was corrected in the FreeBSD ports collection. 以下のリストは、FreeBSD ports コレクションで修正された個々のファイルの リビジョン番号を含んでいる。 Affected port (影響を受ける port) Path Revision ------------------------------------------------------------------------- squid22 *未修正* squid23 ports/www/squid23/Makefile 1.78 ports/www/squid23/distinfo 1.57 squid24 ports/www/squid24/Makefile 1.84 ports/www/squid24/distinfo 1.61 ------------------------------------------------------------------------- VII. 参考文献 - References