首頁 > 安全研究 > 安全通報 > 安全通告

Squid Web代理軟件緩沖區溢出漏洞安全通告

發布時間 2019-08-23

漏洞編號和級別


CVE編號:CVE-2019-12527,危險級別:高危,CVSS分值:8.8


影響版本


受影響的版本


Squid 4.0.23版本至4.7版本


漏洞概述


Squid是一套代理服務器和Web緩存服務器軟件。該軟件提供緩存萬維網、過濾流量、代理上網等功能。


Squid存在緩沖區錯誤漏洞。該漏洞源于網絡系統或產品在內存上執行操作時,未正確驗證數據邊界,導致向關聯的其他內存位置上執行了錯誤的讀寫操作。遠程未經身份驗證的攻擊者可以通過向目標服務器發送精心設計的請求來利用此漏洞,從而導致在Squid進程的上下文中執行代碼。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://github.com/squid-cache/squid/commits/v4。


參考鏈接


https://www.thezdi.com/blog/2019/8/22/cve-2019-12527-code-execution-on-squid-proxy-through-a-heap-buffer-overflow


上一篇 下一篇