点击箭头处“蓝色字”,关注我们哦!!
尊敬的客户:
Squid Cache(简称为Squid)是一款非常流行的HTTP代理服务器软件。近期,Squid官方发布安全更新修复了包括远程代码执行、远程拒绝服务在内的多个高危漏洞。
奇安信安全监测与响应中心将持续关注该漏洞进展,并第一时间为您更新该漏洞信息。
文档信息
文档名称
Squid缓冲区溢出及拒绝服务漏洞安全预警通告关键字
Squid、CVE-2019-12527、CVE-2019-12525、CVE-2019-12529发布日期
2019年08月23日分析团队
奇安信安全监测与响应中心
漏洞描述
CVE-2019-12527:Squid在处理HTTP Basic认证凭据时存在缓冲区溢出漏洞。远程攻击者可以通过向目标服务器发送精心构造的HTTP请求来利用此漏洞。成功利用将导致攻击者能够使用服务器进程的权限执行任意代码,而不成功的攻击将导致服务器进程异常终止。
CVE-2019-12525:Squid在处理HTTP Digest认证凭据时存在拒绝服务漏洞。
CVE-2019-12529:Squid在处理HTTP Basic认证凭据时存在拒绝服务漏洞。
风险等级
奇安信安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般事件)
影响范围
CVE-2019-12527:Squid 4.0.23至4.7版本,当访问Squid缓存管理器分析报告时,或者使用了FTP网关的情况下。
CVE-2019-12525:Squid 3.3.9至3.5.28版本、Squid 4.x至4.7版本。
CVE-2019-12529:Squid 2.x至2.7.STABLE9、Squid 3.x至3.5.28、Squid 4.x至4.7版本。
处置建议
升级到Squid 4.8。
各漏洞临时缓解措施如下:
漏洞编号
临时缓解措施
CVE-2019-12527
1.拒绝对ftp://协议的URL进行代理;
2.拒绝缓存管理器分析报告向所有客户端开放,具体规则如下:
acl FTP proto FTP
http_access deny FTP
http_access deny manager
3.在构建Squid时加上参数 --disable-auth-basic。
CVE-2019-12525
1.在squid.conf配置文件中移除掉auth_param digest ...
2.在构建Squid时加上参数 --disable-auth-basic。
CVE-2019-12529
1.在squid.conf配置文件中移除掉auth_param digest ...
2.在Squid-3.2.14及后续版本中,构建Squid时加上参数 --disable-auth-basic。
产品线解决方案
目录
奇安信网神网络数据传感器系统产品检测方案:
奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备 CVE-2019-12527远程执行漏洞的检测能力。规则ID为:5336,建议用户尽快升级检测规则库至及以上版本并启用该检测规则。
奇安信天眼新一代威胁感知系统产品检测方案:
奇安信天眼未知威胁感知系统的流量探针在第一时间加入了针对 CVE-2019-12527 的检测,可以精准地发现相关的攻击并判定是否攻击成功。请升级到11289或以上。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级。
参考资料
[1] ?CNNVD=CNNVD--665[2] [3] [4] [5] [6][7]
时间线
[1]. 2019年8月23日,奇安信安全监测与响应中心发布预警通告