zfnh00 2010-09-08
Squid代理字符串处理空指针引用漏洞
发布日期:2010-09-03
更新日期:2010-09-07
受影响系统:
Squid Web Proxy Cache 3.2
Squid Web Proxy Cache 3.1
Squid Web Proxy Cache 3.0
不受影响系统:
Squid Web Proxy Cache 3.2.0.2
Squid Web Proxy Cache 3.1.8
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 42982
Squid是一个高效的Web缓存及代理程序,最初是为Unix平台开发的,现在也被移植到Linux和大多数的Unix类系统中,最新的Squid可以运行在Windows平台下。
某些Squid内部字符串处理例程没有正确地检查空指针,远程攻击者可以通过发送恶意请求导致拒绝服务。
<*来源:Phil Oester
链接:http://secunia.com/advisories/41298/
http://www.squid-cache.org/Advisories/SQUID-2010_3.txt
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
1) 将ignore_expect_100 squid.conf选项设置为off(默认),或完全从squid.conf中删除。
2) 对Squid编译--disable-http-violations。
厂商补丁:
Squid
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.squid-cache.org/Versions/v3/3.0/changesets/squid-3.0-9189.patch
http://www.squid-cache.org/Versions/v3/3.1/changesets/squid-3.1-10090.patch