关于Squid服务器软件存在多个拒绝服务漏洞的安全公告
近期,国家信息安全漏洞共享平台(CNVD)收录了Squid存在的多个拒绝服务漏洞(CNVD-2016-01440、CNVD-2016-01441、CNVD-2016-01442、CNVD-2016-01443;对应CVE-2016-2569 、CVE-2016-2570 、CVE-2016-2571 、 CVE-2016-2572 )。攻击者可利用上述漏洞远程发起拒绝服务攻击。
一、漏洞情况分析
Squid(全称Squid Cache)是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。
由于Squid服务器http.cc文件以及Edge Side Includes(ESI)解析器存在设计缺陷,程序在解析失败时对HTTP响应状态码参数有依赖关系,同时在解析XML对象期间未能检查缓冲区限制,未能正确将数据附加到String对象。远程攻击者可借助畸形的响应信息、构造的XML文档或较长的字符串,造成服务器断言失败和守护进程退出,构成拒绝服务攻击。
CNVD对上述漏洞的技术评级均为“中危”。 Squid作为应用广泛的服务器软件,漏洞仍有可能被黑客地下产业利用发起以拒绝服务、网络敲诈为目的攻击。
二、漏洞影响范围
漏洞影响Squid 3.x(<3.5.15) 和Squid 4.x(<4.0.7)版本。
根据CNVD普查情况,受漏洞影响Squid的服务器共计约47.5万台,主要分布在经济较发达、信息化水平发展较快的国家和地区。在全球范围内排名前五的国家分别是:美国(占比52.9%)、罗马尼亚(9.7%)、中国(8.6%)、英国(2.3%)、德国(1.9%)。在中国境内,共有约4.1万台服务器受漏洞影响,排名前五的省份分别为:四川(占比43.6%)、山东(21.1%)、北京(6.5%)、广东(3.3%)、上海(3.0%)。
三、漏洞修复建议
Squid生产厂商已发布了安全补丁修复该漏洞,CNVD建议相关用户及时下载使用,避免引发漏洞相关的网络安全事件。安全更新参考以下厂商链接:
http://www.squid-cache.org/Versions/v4/changesets/squid-4-14548.patch
http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13990.patch
http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13993.patch
http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13991.patch
参考链接:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2569