阅读: 67

当地时间11月5日,Squid 官方发布安全通告修复了多个漏洞。危害等级:高,攻击者利用漏洞,可造成任意代码执行、拒绝服务、信息泄露等。

一.  漏洞概述

当地时间11月5日,Squid 官方发布安全通告修复了多个漏洞,其中包含一个可导致代码执行的高危缓冲区溢出漏洞(CVE-2019-12526),一个信息泄露漏洞(CVE-2019-18679)及HTTP请求拆分问题(CVE-2019-18678)。

Squid是一种流行的开源Internet代理和Web缓存应用程序。它可用于减少Web服务器上的带宽使用和需求,过滤网络流量,并通过本地缓存常用资源来加速Web访问。Squid支持各种网络协议,包括HTTP,FTP和Gopher。Squid支持代理转发,内部网络上的客户端通过Squid连接到外部网络上的服务器,反向代理外部网络上的客户端通过Squid连接到内部网络上的服务器。

CVE-2019-12526:由于不正确的缓冲区管理,该漏洞允许远程攻击者向堆上写入大量任意数据,可能导致任意代码执行。在具有内存访问保护的系统上,则可能导致Squid进程异常终止,对所有使用代理的客户端造成拒绝服务。

CVE-2019-18679:由于不正确的数据管理,使得 Squid在处理HTTP摘要认证时可能发生信息泄露,泄露的信息将减弱ASLR保护,并可能帮助攻击者实行远程代码执行攻击。

CVE-2019-18678:由于错误的消息解析,使得 Squid 容易出现 HTTP 请求拆分问题,风险及影响相对较小。

参考链接:

http://www.squid-cache.org/Advisories/SQUID-2019_11.txt

http://www.squid-cache.org/Advisories/SQUID-2019_10.txt

http://www.squid-cache.org/Advisories/SQUID-2019_7.txt

二、影响范围

影响范围

  • Squid 3.0 <= 3.5.28
  • Squid 4.x <= 4.8

不受影响版本

  • Squid = 4.9

三、漏洞检测

人工检测

用户可使用命令squid –v查看当前安装的版本

若当前版本在受影响范围内,则可能存在风险。

四、漏洞防护

官方升级

目前官方已在最新版本中修复了以上漏洞,请受影响的用户尽快升级到Squid 4.9。

官方链接:http://www.squid-cache.org/Versions/

安装命令如下:

wget http://www.squid-cache.org/Versions/v4/squid-4.9.tar.gz
tar -zxvf squid-4.9.tar.gz
cd squid-4.9 ./configure (编译参数可根据需要自定义)
make && make install

安装成功截图如下:

其他防护措施

若相关用户暂时无法进行升级,也可采用以下措施对相应漏洞进行防护。

1、安装漏洞对应的补丁

漏洞编号 补丁下载链接
CVE-2019-12526 http://www.squid-cache.org/Versions/v4/changesets/squid-4-7aa0184a720fd216191474e079f4fe87de7c4f5a.patch
CVE-2019-18678 http://www.squid-cache.org/Versions/v4/changesets/squid-4-671ba97abe929156dc4c717ee52ad22fba0f7443.patch
CVE-2019-18679 http://www.squid-cache.org/Versions/v4/changesets/squid-4-671ba97abe929156dc4c717ee52ad22fba0f7443.patch

注:若使用的是Squid的预打包版本,请与软件包供应商联系进行确认。

2、针对漏洞采取防护措施

CVE-2019-12526:

拒绝urn:由所有客户端所代理的协议URI

acl URN proto URN

http_access deny URN

CVE-2019-18679:

(1)从配置文件squid.conf中删除“auth_param digest …”设置。

(2)在编译Squid 时添加 –disable-auth-basic 参数

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技                                                

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。