Squid缓冲区溢出漏洞安全通告
发布时间 2019-11-07漏洞编号和级别
CVE编号:CVE-2019-12526,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-18678,危险级别:中危,CVSS分值:官方未评定
CVE编号:CVE-2019-18679,危险级别:中危,CVSS分值:官方未评定
影响版本
Squid 3.x至3.5.28(包括3.5.28)
所有Squid-4.x至4.8版本(包括4.8)
漏洞概述
Squid是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。
Squid官方发布安全更新修复了多个漏洞,其中CVE-2019-12526为缓冲区溢出高危漏洞,可能导致远程代码执行,概述如下:
CVE-2019-12526
由于不正确的缓冲区管理,远程攻击者可以通过向目标服务器发送精心设计的HTTP请求来利用此漏洞。成功利用将导致攻击者能够使用服务器进程的权限执行任意代码,而不成功的攻击将导致服务器进程异常终止。
CVE-2019-18678
在消息解析时,由于错误的消息解析,Squid容易出现HTTP请求拆分问题。
CVE-2019-18679
由于错误的数据管理,Squid在处理HTTP摘要认证时引发信息泄露。
漏洞验证
暂无POC/EXP。
修复建议
升级到Squid 4.9:http://www.squid-cache.org/Versions/v4/。
各漏洞临时缓解措施如下:
CVE-2019-12526
拒绝 urn: 协议的 URI 被代理给所有客户端:
acl URN proto URN
http_access deny URN
CVE-2019-18679
1.在squid.conf配置文件中移除掉'auth_param digest ...'
2.构建Squid时加上参数 --disable-auth-basic
参考链接
http://www.squid-cache.org/Advisories/SQUID-2019_11.txt
http://www.squid-cache.org/Advisories/SQUID-2019_10.txt
http://www.squid-cache.org/Advisories/SQUID-2019_7.txt
京公网安备11010802024551号