亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

關(guān)于Squid服務(wù)器軟件存在多個(gè)拒絕服務(wù)漏洞的安全公告

2016-04-01 14:42:56

安全公告編號(hào):CNTA-2016-0013

近期,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了Squid存在的多個(gè)拒絕服務(wù)漏洞(CNVD-2016-01440、CNVD-2016-01441、CNVD-2016-01442、CNVD-2016-01443;對(duì)應(yīng)CVE-2016-2569?、CVE-2016-2570?、CVE-2016-2571?、?CVE-2016-2572?)。攻擊者可利用上述漏洞遠(yuǎn)程發(fā)起拒絕服務(wù)攻擊。

一、漏洞情況分析

Squid(全稱Squid Cache)是一套代理服務(wù)器和Web緩存服務(wù)器軟件。該軟件提供緩存萬(wàn)維網(wǎng)、過濾流量、代理上網(wǎng)等功能。

由于Squid服務(wù)器http.cc文件以及EdgeSide Includes(ESI)解析器存在設(shè)計(jì)缺陷,程序在解析失敗時(shí)對(duì)HTTP響應(yīng)狀態(tài)碼參數(shù)有依賴關(guān)系,同時(shí)在解析XML對(duì)象期間未能檢查緩沖區(qū)限制,未能正確將數(shù)據(jù)附加到String對(duì)象。遠(yuǎn)程攻擊者可借助畸形的響應(yīng)信息、構(gòu)造的XML文檔或較長(zhǎng)的字符串,造成服務(wù)器斷言失敗和守護(hù)進(jìn)程退出,構(gòu)成拒絕服務(wù)攻擊。

?CNVD對(duì)上述漏洞的技術(shù)評(píng)級(jí)均為“中危”。?Squid作為應(yīng)用廣泛的服務(wù)器軟件,漏洞仍有可能被黑客地下產(chǎn)業(yè)利用發(fā)起以拒絕服務(wù)、網(wǎng)絡(luò)敲詐為目的攻擊。

二、漏洞影響范圍

漏洞影響Squid 3.x(<3.5.15)?和Squid 4.x(<4.0.7)版本。

根據(jù)CNVD普查情況,受漏洞影響Squid的服務(wù)器共計(jì)約47.5萬(wàn)臺(tái),主要分布在經(jīng)濟(jì)較發(fā)達(dá)、信息化水平發(fā)展較快的國(guó)家和地區(qū)。在全球范圍內(nèi)排名前五的國(guó)家分別是:美國(guó)(占比52.9%)、羅馬尼亞(9.7%)、中國(guó)(8.6%)、英國(guó)(2.3%)、德國(guó)(1.9%)。在中國(guó)境內(nèi),共有約4.1萬(wàn)臺(tái)服務(wù)器受漏洞影響,排名前五的省份分別為:四川(占比43.6%)、山東(21.1%)、北京(6.5%)、廣東(3.3%)、上海(3.0%)。

三、漏洞修復(fù)建議

Squid生產(chǎn)廠商已發(fā)布了安全補(bǔ)丁修復(fù)該漏洞,CNVD建議相關(guān)用戶及時(shí)下載使用,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。安全更新參考以下廠商鏈接:

http://www.squid-cache.org/Versions/v4/changesets/squid-4-14548.patch

http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13990.patch

http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13993.patch

http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13991.patch

附:參考鏈接:

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2569

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2570

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2571

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2572

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01443

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01442

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01441

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01440