Squid代理字符串处理空指针引用漏洞

zfnh00 2010-09-08

Squid代理字符串处理空指针引用漏洞

发布日期:2010-09-03
更新日期:2010-09-07

受影响系统:
Squid Web Proxy Cache 3.2
Squid Web Proxy Cache 3.1
Squid Web Proxy Cache 3.0
不受影响系统:
Squid Web Proxy Cache 3.2.0.2
Squid Web Proxy Cache 3.1.8
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 42982

Squid是一个高效的Web缓存及代理程序,最初是为Unix平台开发的,现在也被移植到Linux和大多数的Unix类系统中,最新的Squid可以运行在Windows平台下。

某些Squid内部字符串处理例程没有正确地检查空指针,远程攻击者可以通过发送恶意请求导致拒绝服务。

<*来源:Phil Oester
 
  链接:http://secunia.com/advisories/41298/
        http://www.squid-cache.org/Advisories/SQUID-2010_3.txt
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

1) 将ignore_expect_100 squid.conf选项设置为off(默认),或完全从squid.conf中删除。

2) 对Squid编译--disable-http-violations。

厂商补丁:

Squid
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.squid-cache.org/Versions/v3/3.0/changesets/squid-3.0-9189.patch
http://www.squid-cache.org/Versions/v3/3.1/changesets/squid-3.1-10090.patch

相关推荐