CVE-2023-46728
SQUID-2021:8 Denial of Service in Gopher gateway
En resumen
Squid proxy tiene un error en su puerta de enlace Gopher que puede bloquear el servicio al recibir ciertas respuestas, incluso de servidores legítimos. Esto causa una denegación de servicio donde el proxy deja de funcionar para todos los usuarios.
Detalle técnico
Una desreferencia de puntero nulo en el controlador del protocolo Gopher de Squid permite que atacantes remotos provoquen una denegación de servicio enviando respuestas especialmente estructuradas. La puerta de enlace Gopher está habilitada por defecto en versiones anteriores a 6.0.1, y la explotación solo requiere acceso a la red a un servidor Gopher.
Resumen generado y traducido por IA a partir de la descripción oficial.
Squid is a caching proxy for the Web supporting HTTP, HTTPS, FTP, and more. Due to a NULL pointer dereference bug Squid is vulnerable to a Denial of Service attack against Squid's Gopher gateway. The gopher protocol is always available and enabled in Squid prior to Squid 6.0.1. Responses triggering this bug are possible to be received from any gopher server, even those without malicious intent. Gopher support has been removed in Squid version 6.0.1. Users are advised to upgrade. Users unable to upgrade should reject all gopher URL requests.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
squid-cache · squid¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/squid-cache/squid/commit/6ea12e8fb590ac6959e9356a81aa3370576568c3https://github.com/squid-cache/squid/security/advisories/GHSA-cg5h-v6vc-w33fhttps://lists.debian.org/debian-lts-announce/2025/09/msg00027.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A5QASTMCUSUEW3UOMKHZJB3FTONWSRXS/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MEV66D3PAAY6K7TWDT3WZBLCPLASFJDC/https://security.netapp.com/advisory/ntap-20231214-0006/