【安全预警】Squid 远程代码执行漏洞安全预警通告

【安全预警】Squid 远程代码执行漏洞安全预警通告

TCSA-2019-0042

Squid远程代码执行漏洞安全预警通告_(TCSA-2019-0042)

情报概览

类型 介绍
风险等级 高危
CVSS 评分 8.1
CVE 编号 CVE-2019-12526 / CVE-2019-18678
情报概述 近日,腾讯云安全中心监测到 Squid 官方发布了 3 个安全更新公告,修复了包括远程代码执行、信息泄露在内的多个安全漏洞。 其中 CVE-2019-12526 漏洞风险较高,攻击者可远程利用在服务器上执行命令
情报类型 远程代码执行
收录时间 2019-11-07 10:34:10

情报详情

Squid cache (简称为 Squid) 是一个流行的代理服务器和 Web 缓存服务器。 近日,Squid 官方发布安全公告,披露了三个安全漏洞,分别如下: CVE-2019-12526:URN 处理缓冲区溢出漏洞,远程攻击者可以通过向目标服务器发送精心设计的恶意代码达到执行任意代码的目的,开启内存访问保护的系统若被利用,可能导致服务进程异常终止,风险较高。 CVE-2019-18678:HTTP 消息处理拆分漏洞,在消息解析时,由于错误的消息解析,Squid 容易出现 HTTP 请求拆分问题,风险相对较低。 CVE-2019-18679:HTTP 摘要认证信息泄露漏洞, 由于错误的数据管理,导致 Squid 在处理 HTTP 摘要认证时存在信息泄露风险。

影响版本

Squid 3.x ≤ Squid ≤ Squid 3.5.28
Squid 4.x ≤ Squid ≤ Squid 4.8

安全版本

Squid 4.9

检测方法

检查 Squid 版本是否在受影响范围 。

修复建议

官方已发布新版本修复了上述漏洞,腾讯云安全团队建议您:

  1. 升级到最新版本;

  2. 采用临时缓解方案:

    • CVE-2019-12526 : 拒绝 URN:协议的 URI 代理转发给所有客户端 ,配置如下:

      acl URN proto URN
      http_access deny URN;
    • CVE-2019-18679 (以下任选其一)

      • squid.conf 配置文件中移除掉 'auth_param digest ...' 配置项内容
      • 编译 Squid 时加上 --disable-auth-basic 参数

参考链接


   Reprint policy


《【安全预警】Squid 远程代码执行漏洞安全预警通告》 by Ryanjie is licensed under a Creative Commons Attribution 4.0 International License
 Previous
Google Chrome 绿色增强版 Google Chrome 绿色增强版
Google Chrome 的特点是简洁、快速。Google Chrome 支持多标签浏览,每个标签页面都在独立的“沙箱”内运行,在提高安全性的同时,一个标签页面的崩溃也不会导致其他标签页面被关闭。
2019-11-08
Next 
腾讯云标准型 S4 服务器 1C2G1M 综合性能评测 腾讯云标准型 S4 服务器 1C2G1M 综合性能评测
2019 年双十一腾讯云促销活动 “标准型 S4 服务器 1C2G1M” 综合性能评测,评测工具 LemonBench 和 Superbench。
  TOC