发布时间:2019-11-11 09:52:02,来源:中国信息通信研究院
一、内容概述
Squid存在缓冲区溢出漏洞,CVE编号:CVE-2019-12526,可造成未授权任意代码执行。
受影响版本:
Squid 3.x-3.5.28(包括3.5.28)
Squid 4.x-4.8版本(包括4.8)
二、详细说明
Squid 是一款受欢迎的开源代理服务器和缓存应用,支持HTTP、HTTPS、FTP等多种网络协议,使用广泛。
该漏洞是因不正确的缓冲区管理造成,远程攻击者可以通过向目标服务器发送精心设计的HTTP请求来利用此漏洞。攻击者成功利用后可使用服务器进程的权限执行任意代码,若利用不成功将导致服务器进程异常终止。
三、处理方法和建议
1) 漏洞修复建议:
目前官方已发布Squid 4.9版修复该漏洞,请用户尽快更新进行防护。
下载链接: http://www.squid-cache.org/Versions/
2) 参考链接:
http://www.squid-cache.org/Advisories/SQUID-2019_7.txt