Laut einer Meldung von Security Reason tritt die Sicherheitslücke in allen aktuellen Versionen des „Squid Analysis Report Generator“ bis einschließlich Version 2.2.3.1 auf. Die Sicherheitslücke entsteht durch die mangelhafte Abfrage der syntaktischen Korrektheit von HTTP Methoden, die in einer Logdatei erscheinen.
Durch die gezielte Manipulation einer entsprechenden Logdatei können sich Angreifer diese Schwachstelle zunütze machen: Durch eine überdimensionierte Zeichenkette im Feld „Useragent“ können sie beliebigen Schadcode in das auswertende System einspeisen und ausführen. Der Mangel wurde in der neusten Version 2.2.4 beseitigt. (vgw)