服务公告
Squid缓冲区溢出漏洞预警(CVE-2019-12526)
2019-11-08
一、概要
近日,华为云关注到Squid官方披露了一个缓冲区溢出漏洞(CVE-2019-12526)。由于不正确的缓冲区管理,攻击者可以在无需身份验证的条件下,通过构造精心设计的HTTP请求利用此漏洞,可能导致远程代码执行。
华为云提醒用户及时安排自检并做好安全加固。
参考链接:
http://www.squid-cache.org/Advisories/SQUID-2019_7.txt
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
受影响版本:
Squid 3.x 至 3.5.28(包括3.5.28)
Squid-4.x 至 4.8(包括4.8)
安全版本:
Squid 4.9
(注:Squid-2.x不受该漏洞影响)
四、处置方案
目前Squid官方已在最新的4.9版本中修复了该漏洞,请受影响的用户升级至安全版本。
下载链接:http://www.squid-cache.org/Versions/v4/
临时规避措施:
禁用URN,其配置参考如下:
acl URN proto URN
http_access deny URN
注:修复漏洞前请将资料备份,并进行充分测试。
