Squid Cache(简称为Squid)是一款非常流行的HTTP代理服务器软件。近期,Squid官方发布安全更新修复了包括远程代码执行、信息泄露在内的多个漏洞。其中CVE-2019-12526为缓冲区溢出高危漏洞,可能导致远程代码执行,请尽快更新到最新版。
漏洞描述
CVE-2019-12526:
由于不正确的缓冲区管理,远程攻击者可以通过向目标服务器发送精心设计的HTTP请求来利用此漏洞。成功利用将导致攻击者能够使用服务器进程的权限执行任意代码,而不成功的攻击将导致服务器进程异常终止。
CVE-2019-18678:
在消息解析时,由于错误的消息解析,Squid容易出现HTTP请求拆分问题。
CVE-2019-18679:
由于错误的数据管理,Squid在处理HTTP摘要认证时引发信息泄露。
风险等级
奇安信安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般事件)
影响范围
CVE-2019-12526:
Squid 3.x至3.5.28(包括3.5.28)
所有Squid-4.x至4.8版本(包括4.8)
CVE-2019-18678:
Squid 3.x至3.5.28(包括3.5.28)
所有Squid-4.x至4.8版本(包括4.8)
CVE-2019-18679:
Squid 3.x至3.5.28(包括3.5.28)
所有Squid-4.x至4.8版本(包括4.8)
处置建议
升级到Squid 4.9。
各漏洞临时缓解措施如下:
CVE-2019-12526:
拒绝 urn: 协议的 URI 被代理给所有客户端:
acl URN proto URN
http_access deny URN
CVE-2019-18679:
1.在squid.conf配置文件中移除掉’auth_param digest …’
2.构建Squid时加上参数 –disable-auth-basic
参考资料
http://www.squid-cache.org/Advisories/SQUID-2019_11.txt
http://www.squid-cache.org/Advisories/SQUID-2019_10.txt
http://www.squid-cache.org/Advisories/SQUID-2019_7.txt
