99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

漏洞描述

當(dāng)?shù)貢r(shí)間11月5日，Squid 官方發(fā)布安全通告修復(fù)了多個(gè)漏洞，其中包含一個(gè)可導(dǎo)致代碼執(zhí)行的高危緩沖區(qū)溢出漏洞（CVE-2019-12526），一個(gè)信息泄露漏洞（CVE-2019-18679）及HTTP請(qǐng)求拆分問題（CVE-2019-18678）。

Squid是一種流行的開源Internet代理和Web緩存應(yīng)用程序。它可用于減少Web服務(wù)器上的帶寬使用和需求，過濾網(wǎng)絡(luò)流量，并通過本地緩存常用資源來加速Web訪問。Squid支持各種網(wǎng)絡(luò)協(xié)議，包括HTTP，F(xiàn)TP和Gopher。Squid支持代理轉(zhuǎn)發(fā)，內(nèi)部網(wǎng)絡(luò)上的客戶端通過Squid連接到外部網(wǎng)絡(luò)上的服務(wù)器，反向代理外部網(wǎng)絡(luò)上的客戶端通過Squid連接到內(nèi)部網(wǎng)絡(luò)上的服務(wù)器。

漏洞編號(hào)

CVE-2019-12526、CVE-2019-18679、CVE-2019-18679

漏洞危害

CVE-2019-12526：由于不正確的緩沖區(qū)管理，該漏洞允許遠(yuǎn)程攻擊者向堆上寫入大量任意數(shù)據(jù)，可能導(dǎo)致任意代碼執(zhí)行。在具有內(nèi)存訪問保護(hù)的系統(tǒng)上，則可能導(dǎo)致Squid進(jìn)程異常終止，對(duì)所有使用代理的客戶端造成拒絕服務(wù)。

CVE-2019-18679：由于不正確的數(shù)據(jù)管理，使得 Squid在處理HTTP摘要認(rèn)證時(shí)可能發(fā)生信息泄露，泄露的信息將減弱ASLR保護(hù)，并可能幫助攻擊者實(shí)行遠(yuǎn)程代碼執(zhí)行攻擊。

CVE-2019-18678：由于錯(cuò)誤的消息解析，使得 Squid 容易出現(xiàn) HTTP 請(qǐng)求拆分問題，風(fēng)險(xiǎn)及影響相對(duì)較小。

漏洞等級(jí)

高危
受影響版本

Squid 3.0 <= 3.5.28

Squid 4.x <= 4.8

修復(fù)方案

目前官方已在最新版本中修復(fù)了以上漏洞，請(qǐng)受影響的用戶盡快升級(jí)到Squid 4.9。

官方鏈接：http://www.squid-cache.org/Versions/

臨時(shí)緩解措施：

若相關(guān)用戶暫時(shí)無法進(jìn)行升級(jí)，也可采用以下措施對(duì)相應(yīng)漏洞進(jìn)行防護(hù)。

1. 安裝漏洞對(duì)應(yīng)的補(bǔ)丁

注：若使用的是Squid的預(yù)打包版本，請(qǐng)與軟件包供應(yīng)商聯(lián)系進(jìn)行確認(rèn)。

2. 針對(duì)漏洞采取防護(hù)措施

CVE-2019-12526:

拒絕urn：由所有客戶端所代理的協(xié)議URI

acl URN proto URN

http_access deny URN

CVE-2019-18679:

（1）從配置文件squid.conf中刪除“auth_param digest …”設(shè)置。

（2）在編譯Squid 時(shí)添加 –disable-auth-basic 參數(shù)