首页 > 安全钻研 > 安全传递 > 安全公告

Squid缓冲区溢露马脚安全公告

颁布功夫 2019-11-07

缝隙编号和级别

CVE编号：CVE-2019-12526，，，，，，危险级别：高危，，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-18678，，，，，，危险级别：中危，，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-18679，，，，，，危险级别：中危，，，，，，CVSS分值：官方未评定

影响版本

Squid 3.x至3.5.28(蕴含3.5.28)

所有Squid-4.x至4.8版本(蕴含4.8)

缝隙概述

Squid是一套代理服务器和Web缓存服务器软件。。。。。。。该软件提供缓存万维网、过滤流量、代理上网等职能。。。。。。。

Squid官方颁布安全更新建复了多个缝隙，，，，，，其中CVE-2019-12526为缓冲区溢出高危缝隙，，，，，，可能导致远程代码执行，，，，，，概述如下：

CVE-2019-12526

由于不正确的缓冲区治理，，，，，，远程攻击者能够通过向指标服务器发送精心设计的HTTP要求来利用此缝隙。。。。。。。成功利用将导致攻击者可能使用服务器过程的权限执行肆意代码，，，，，，而不成功的攻击将导致服务器过程异常终止。。。。。。。

CVE-2019-18678

在新闻解析时，，，，，，由于谬误的新闻解析，，，，，，Squid容易出现HTTP要求拆分问题。。。。。。。

CVE-2019-18679

由于谬误的数据治理，，，，，，Squid在处置HTTP提要认证时引发信息泄露。。。。。。。

缝隙验证

暂无POC/EXP。。。。。。。

建复建议

升级到Squid 4.9：http://www.squid-cache.org/Versions/v4/。。。。。。。

各缝隙一时缓解措施如下：

CVE-2019-12526

回绝 urn: 和谈的 URI 被代理给所有客户端：

acl URN proto URN

http_access deny URN

CVE-2019-18679

1.在squid.conf配置文件中移除掉'auth_param digest ...'

2.构建Squid时加上参数 --disable-auth-basic

参考链接

http://www.squid-cache.org/Advisories/SQUID-2019_11.txt

http://www.squid-cache.org/Advisories/SQUID-2019_10.txt

http://www.squid-cache.org/Advisories/SQUID-2019_7.txt

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研

Squid缓冲区溢露马脚安全公告

关于8827太阳集团

解决规划

安全钻研

联系8827太阳集团

7*24幼时服务热线