发布日期：2019-11-05
更新日期：2019-11-12

受影响系统：

Squid Squid 4.x <= 4.8
Squid Squid 3.0 <= 3.5.28

描述：

---

CVE(CAN) ID: CVE-2019-18678

Squid是一种流行的开源Internet代理和Web缓存应用程序。它可用于减少Web服务器上的带宽使用和需求，过滤网络流量，并通过本地缓存常用资源来加速Web访问。

Squid 3.0 <= 3.5.28、4.x <= 4.8版本，由于错误的消息解析，使得 Squid 容易出现 HTTP 请求拆分问题。

<*来源：Squid （squidsecurity@hushmail.com）
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

（1）从配置文件squid.conf中删除“auth_param digest …”设置。

（2）在编译Squid 时添加 –disable-auth-basic 参数

厂商补丁：

Squid
-----
目前官方已在最新版本中修复了以上漏洞，请受影响的用户尽快升级到Squid 4.9。

官方链接：http://www.squid-cache.org/Versions/

安装命令如下：

wget http://www.squid-cache.org/Versions/v4/squid-4.9.tar.gz
tar -zxvf squid-4.9.tar.gz
cd squid-4.9 ./configure （编译参数可根据需要自定义）
make && make install

补丁下载链接：http://www.squid-cache.org/Versions/v4/changesets/squid-4-671ba97abe929156dc4c717ee52ad22fba0f7443.patch

参考：
http://www.squid-cache.org/Advisories/SQUID-2019_11.txt

http://www.squid-cache.org/Advisories/SQUID-2019_10.txt

http://www.squid-cache.org/Advisories/SQUID-2019_7.txt

浏览次数：1133
严重程度：0（网友投票）