发布日期：2010-02-12
更新日期：2010-02-25

受影响系统：

Squid Web Proxy Cache 3.0
Squid Web Proxy Cache 2.x

不受影响系统：

Squid Web Proxy Cache 3.0.STABLE24
Squid Web Proxy Cache 2.7.STABLE8
Squid Web Proxy Cache 2.6.STABLE24

描述：

---

BUGTRAQ  ID: 38212
CVE ID: CVE-2010-0639

Squid是一个高效的Web缓存及代理程序，最初是为Unix平台开发的，现在也被移植到Linux和大多数的Unix类系统中，最新的Squid可以运行在Windows平台下。

远程攻击者可以通过向Squid的HTCP端口发送畸形报文触发空指针引用，导致Squid崩溃。

<*来源：Kieran Whitbread （k.j.whitbread）
  
  链接：http://bugs.squid-cache.org/show_bug.cgi?format=multiple&id=2858
        http://www.squid-cache.org/Advisories/SQUID-2010_2.txt
        http://www.ubuntu.com/usn/USN-904-1
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

对于Squid-2.x

  * 明确配置htcp_port 0

对于Squid-3.0

  * 升级到3.0版本后删除squid.conf中所有非必需的htcp_port设置

厂商补丁：

Squid
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.squid-cache.org/Versions/v2/2.7/changesets/12600.patch
http://www.squid-cache.org/Versions/v3/3.0/changesets/3.0-ADV-2010_2.patch

Ubuntu
------
Ubuntu已经为此发布了一个安全公告（USN-904-1）以及相应补丁:
USN-904-1：Squid vulnerability
链接：http://www.ubuntu.com/usn/USN-904-1

浏览次数：2541
严重程度：0（网友投票）