35 patcheletlen security bug a SQUID-ban

Security-all

WTF?

 

https://www.theregister.com/2023/10/13/squid_proxy_bugs_remain_unfixed

https://www.securityweek.com/dozens-of-squid-proxy-vulnerabilities-remain-unpatched-2-years-after-disclosure/

https://joshua.hu/squid-security-audit-35-0days-45-exploits 

https://www.openwall.com/lists/oss-security/2023/10/11/3

  • 1268 megtekintés

( godot v | 2023. 11. 25., szo – 19:17 )

5.0.5 volt auditálva és 6.4 az az utolsó verzió....

( n.balazs v | 2023. 11. 25., szo – 21:31 )

Ebben mi a meglepő? Az IT termékek tele vannak bugokkal. Javítják őket best-effort vagy risk analysis alapon.
Továbbá a Squid open source tudtommal. Bármikor patchelheti bárki, akinek van rá ideje, energiája.

Mellesleg 6.5 az utolsó stable verzió - 2023. nov. 6-án jött ki. Ha valaki régebbi RHEL-t használ, régebbi Squiddal. RH adott ki patcheket 5.5-höz (lásd: https://access.redhat.com/errata/RHSA-2023:6266). Nem néztem végig az összes felsorolt CVE-t, lehet köztük olyan, amit még tényleg nem javítottak ki.

Hogy konkrét is legyek pár CVE-nél:
- CVE-2023-46847 (https://bugzilla.redhat.com/show_bug.cgi?id=2245910): 6.4-ben fixálták.
- CVE-2023-46847 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46847): 6.4-ben fixálták.
- CVE-2023-46848 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46848): 6.4-ben fixálták.

Mellesleg ha valakinek komolyabb szintű biztonságra van szüksége, akkor ott van például a CC EAL minősítés. Használjon olyan szoftvert, ami eléri a CC EAL 4-5 szintet. Megjegyzem, hogy a jelenlegi RHEL 9 NEM rendelkezik CC EAL minősítéssel. PP compliant megszerzése is csak folyamatban van 9.0-ra. Ami szerintem piszkosul ciki.
Link az érdeklődőknek: https://access.redhat.com/articles/2918071

Részt vettem CC EAL 2 minősítés megszerzésében egy projektben egy adott termékre. Nem volt egyszerű, holott a cég és a fejlesztők már régóta készültek rá.
Állítom, hogy a legtöbb projekt, legtöbb cég számára még egy ilyen belépő szintű tanúsítás megszerzése is "lehetetlen kihívást" jelent.

Hát ami 1-1 ekvivalens tudásban Squiddal, olyanról én nem tudok. MS vonalon meg abszolút nem, mióta nincs ISA / TMG / Forefront és társai.
Amiről hallottam, de nem próbáltam még ki: Apache Traffic Server (https://trafficserver.apache.org/). Ha sok időm lesz egyszer, akkor kipróbálom.

Link? Mikor utoljára láttam, az appliance imageből kellett volna valami configot kiműteni, és abban turkálva az látszódott, hogy még az OS is saját volt alatta. Egészen meglepődtem, azt hittem rosszul látok, de találtam a neten mindenféle elemzést meg előadást is amik megerősítették (tehát nem, nem linux, és ezek a marhák még saját fs-t is írtak hozzá).

Én mindent értek. Az Openssl ugyanez volt pepitában annó. Ahogy kiderült a Heartbleed bug után hogy egy rakás trágya az egész kódbázis érdekes módon mindjárt lett refaktoring meg céges invesztálás az Openssl-be, mivel kb megkerülhetetlen volt a library.

Elég komoly felhasználói bázisa van a Squid proxy-nak  is és rengeteg enterprise termékbe van beépítve. Szóval pl a Cisco (Cisco WSA pl) is megerőltethette volna magát vagy donációval vagy javításokkal.

Ahogy 2 év!? után nyilvános lett a bug lista elkezdték javítani a 6.4->6.5 commitok erről szólnak kb.

https://github.com/squid-cache/squid/commits/v6

Persze páran már elkezdték "túlreagálni" a dolgot, pl a PfSense-ből el akarják távolítani.

https://www.netgate.com/blog/deprecation-of-squid-add-on-package-for-pf…

Szerintem nagyon messzire vezet az alap probléma: Rengeteg cég (igen, Cisco is) beépít rengeteg open source, 3rd party komponenst a termékeikbe. Aztán ha ezekben a külső komponensekben találnak valami CVE-t, akkor a cég 3 dolgot tehet: nem foglalkozik vele (lásd például: consumer routerek gyártói) vagy rákényszeríti az ügyfeleit az újabb termékvonalra vagy frissíti a saját termékét, új release-t ad ki. Ez utóbbit csak akkor lépi meg, ha ez megéri neki. Magyarul pénze van belőle.

PfSense túlreagálásáról: Nem biztos, hogy annyira túlreagálják. Szerintem. Csak próbálják nyomás alatt tartani a többi gyártót security szempontból. Mert ami jelenleg van az IT-ben security szempontból, az egy szemétdomb. Szerény véleményem szerint.

azert ezt korrekten csak ugy tudjak kivitelezni, ha valami alternativat raknak bele a Squid helyett, mert az, hogy kivagjak belole az egyetlen csomagot ami forward proxy -kent tud mukodni es nem kap mast helyette, az enyhen szolva is inkorrekt, foleg a fizetos ugyfelekkel szemben.

FBK

Konkrétan van olyan másik open source forward proxy megoldás ami tud basic auth/negotiate/ntlm/kerberos proxy authentikációt , ldap authorizációt ,  cachelést, ICAP-ot és SSL bump-ot?

Én kerestem,de nem találtam.

Egyébként alapvetően az user auth ami a killer fícsör szerintem.

Semmilyen open source tűzfal megoldást nem látok ami tudna user identity alapú policy enforcement-et akár proxy/vagy nem proxy/agent alapú megoldással. Vannak , vagy inkább voltak ezekre kisebb nagyobb hackek (authpf pl),de komplett megoldással én még nem találkoztam.

Most abba ne menjünk bele hogy az enterprise megoldások is leginkább orbitális hackelések :)

Pl.: Palo Alto User-ID vagy Cisco PxGrid

Ha valaki tud ilyet ne tartsa magában.

"Elég komoly felhasználói bázisa van a Squid proxy-nak"

Volt, 10-15-20 éve. Legalább 10 éve egyszerűen nem éri meg proxizni, cachelni, mert:

- olyan netsebességek vannak, hogy semmi értelme
- ha több felhasználó esik rá (márpedig nyilván akkor van értelme, mert 1 userre a böngésző cache is tökéletes) az lesz a szük keresztmetszet cpu, hálózat, diszk vagy valami miatt
- minden https-en megy, azt nem lehet transzparensen proxyzni; állítgatással 10 helyen meg senki nem fog bíbelődni
- rengeteg idióta site tolja a max-age: 0 és hasonló dolgokat, ami miatt megint értelmét veszti

Ezzel nem azt mondom hogy "mentség" a problémára, csak hogy én se használom már régóta, és nem is emlékszek mikor láttam utoljára bárhol is.

"Sose a gép a hülye."