【漏洞预警】Squid缓冲区溢出及拒绝服务漏洞安全预警通告
尊敬的客户:
Squid Cache(简称为Squid)是一款非常流行的HTTP代理服务器软件。近期,Squid官方发布安全更新修复了包括远程代码执行、远程拒绝服务在内的多个高危漏洞。
奇安信安全监测与响应中心将持续关注该漏洞进展,并第一时间为您更新该漏洞信息。
文档信息
文档名称 | Squid缓冲区溢出及拒绝服务漏洞安全预警通告 |
关键字 | Squid、CVE-2019-12527、CVE-2019-12525、CVE-2019-12529 |
发布日期 | 2019年08月23日 |
分析团队 | 奇安信安全监测与响应中心 |
漏洞描述
CVE-2019-12527:Squid在处理HTTP Basic认证凭据时存在缓冲区溢出漏洞。远程攻击者可以通过向目标服务器发送精心构造的HTTP请求来利用此漏洞。成功利用将导致攻击者能够使用服务器进程的权限执行任意代码,而不成功的攻击将导致服务器进程异常终止。
CVE-2019-12525:Squid在处理HTTP Digest认证凭据时存在拒绝服务漏洞。
CVE-2019-12529:Squid在处理HTTP Basic认证凭据时存在拒绝服务漏洞。
风险等级
奇安信安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般事件)
影响范围
Squid 4.0.23至4.7版本,当访问Squid缓存管理器分析报告时,或者使用了FTP网关的情况下。
Squid 3.3.9至3.5.28版本、Squid 4.x至4.7版本。
Squid 2.x至2.7.STABLE9、Squid 3.x至3.5.28、Squid 4.x至4.7版本。
处置建议
升级到Squid 4.8。
各漏洞临时缓解措施如下:
漏洞编号 | 临时缓解措施 |
CVE-2019-12527 | 1.拒绝对ftp://协议的URL进行代理; 2.拒绝缓存管理器分析报告向所有客户端开放,具体规则如下: acl FTP proto FTP http_access deny FTP http_access deny manager 3.在构建Squid时加上参数 --disable-auth-basic。 |
CVE-2019-12525 | 1.在squid.conf配置文件中移除掉'auth_param digest ...' 2.在构建Squid时加上参数 --disable-auth-basic。 |
CVE-2019-12529 | 1.在squid.conf配置文件中移除掉'auth_param digest ...' 2.在Squid-3.2.14及后续版本中,构建Squid时加上参数 --disable-auth-basic。 |
产品线解决方案
奇安信网神网络数据传感器系统产品检测方案:
奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备 CVE-2019-12527远程执行漏洞的检测能力。规则ID为:5336,建议用户尽快升级检测规则库至1908231524及以上版本并启用该检测规则。
奇安信天眼新一代威胁感知系统产品检测方案:
奇安信天眼未知威胁感知系统的流量探针在第一时间加入了针对 CVE-2019-12527 的检测,可以精准地发现相关的攻击并判定是否攻击成功。请升级到11289或以上。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级。
参考资料
[7] https://zh.wikipedia.org/wiki/Squid_(%E8%BD%AF%E4%BB%B6)
时间线