发布日期：2019-11-05
更新日期：2019-11-12

受影响系统：

Squid Squid 4.x <= 4.8
Squid Squid 3.0 <= 3.5.28

描述：

---

CVE(CAN) ID: CVE-2019-18679

Squid是一种流行的开源Internet代理和Web缓存应用程序。它可用于减少Web服务器上的带宽使用和需求，过滤网络流量，并通过本地缓存常用资源来加速Web访问。

Squid 3.0 <= 3.5.28、4.x <= 4.8版本，由于不正确的数据管理，使得Squid在处理HTTP摘要认证时可能发生信息泄露，泄露的信息将减弱ASLR保护，并可能帮助攻击者实行远程代码执行攻击。

<*来源：Squid （squidsecurity@hushmail.com）
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

（1）从配置文件squid.conf中删除“auth_param digest …”设置。

（2）在编译Squid 时添加 –disable-auth-basic 参数

厂商补丁：

Squid
-----
目前官方已在最新版本中修复了以上漏洞，请受影响的用户尽快升级到Squid 4.9。

官方链接：http://www.squid-cache.org/Versions/

安装命令如下：

wget http://www.squid-cache.org/Versions/v4/squid-4.9.tar.gz
tar -zxvf squid-4.9.tar.gz
cd squid-4.9 ./configure （编译参数可根据需要自定义）
make && make install

补丁下载链接：http://www.squid-cache.org/Versions/v4/changesets/squid-4-671ba97abe929156dc4c717ee52ad22fba0f7443.patch

浏览次数：1392
严重程度：0（网友投票）