发布日期：2019-11-05
更新日期：2019-11-12

受影响系统：

Squid Squid 4.x <= 4.8
Squid Squid 3.0 <= 3.5.28

描述：

---

CVE(CAN) ID: CVE-2019-12526

Squid是一种流行的开源Internet代理和Web缓存应用程序。它可用于减少Web服务器上的带宽使用和需求，过滤网络流量，并通过本地缓存常用资源来加速Web访问。

Squid 3.0 <= 3.5.28、4.x <= 4.8版本，由于不正确的缓冲区管理，该漏洞允许远程攻击者向堆上写入大量任意数据，可能导致任意代码执行。在具有内存访问保护的系统上，则可能导致Squid进程异常终止，对所有使用代理的客户端造成拒绝服务。

<*来源：Squid （squidsecurity@hushmail.com）
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

*拒绝urn：由所有客户端所代理的协议URI

acl URN proto URN

http_access deny URN

厂商补丁：

Squid
-----
目前官方已在最新版本中修复了以上漏洞，请受影响的用户尽快升级到Squid 4.9。

官方链接：http://www.squid-cache.org/Versions/

安装命令如下：

wget http://www.squid-cache.org/Versions/v4/squid-4.9.tar.gz
tar -zxvf squid-4.9.tar.gz
cd squid-4.9 ./configure （编译参数可根据需要自定义）
make && make install

补丁下载链接：http://www.squid-cache.org/Versions/v4/changesets/squid-4-7aa0184a720fd216191474e079f4fe87de7c4f5a.patch

浏览次数：1237
严重程度：0（网友投票）