Squid代理字符串处理空指针引用漏洞

Squid代理字符串处理空指针引用漏洞

发布日期:2010-09-03
更新日期:2010-09-07

受影响系统:
Squid Web Proxy Cache 3.2
Squid Web Proxy Cache 3.1
Squid Web Proxy Cache 3.0
不受影响系统:
Squid Web Proxy Cache 3.2.0.2
Squid Web Proxy Cache 3.1.8
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 42982

Squid是一个高效的Web缓存及代理程序,最初是为Unix平台开发的,现在也被移植到Linux和大多数的Unix类系统中,最新的Squid可以运行在Windows平台下。

某些Squid内部字符串处理例程没有正确地检查空指针,远程攻击者可以通过发送恶意请求导致拒绝服务。

<*来源:Phil Oester
 
  链接:
       
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

1) 将ignore_expect_100 squid.conf选项设置为off(默认),或完全从squid.conf中删除。

2) 对Squid编译--disable-http-violations。

厂商补丁:

Squid
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:


内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwsxyp.html