安全公告編號:CNTA-2016-0013

近期，國家信息安全漏洞共享平臺（CNVD）收錄了Squid存在的多個拒絕服務漏洞（CNVD-2016-01440、CNVD-2016-01441、CNVD-2016-01442、CNVD-2016-01443；對應CVE-2016-2569?、CVE-2016-2570?、CVE-2016-2571?、?CVE-2016-2572?）。攻擊者可利用上述漏洞遠程發起拒絕服務攻擊。

一、漏洞情況分析

Squid（全稱Squid Cache）是一套代理服務器和Web緩存服務器軟件。該軟件提供緩存萬維網、過濾流量、代理上網等功能。

由于Squid服務器http.cc文件以及EdgeSide Includes(ESI)解析器存在設計缺陷，程序在解析失敗時對HTTP響應狀態碼參數有依賴關系，同時在解析XML對象期間未能檢查緩沖區限制，未能正確將數據附加到String對象。遠程攻擊者可借助畸形的響應信息、構造的XML文檔或較長的字符串，造成服務器斷言失敗和守護進程退出，構成拒絕服務攻擊。

?CNVD對上述漏洞的技術評級均為“中危”。?Squid作為應用廣泛的服務器軟件，漏洞仍有可能被黑客地下產業利用發起以拒絕服務、網絡敲詐為目的攻擊。

二、漏洞影響范圍

漏洞影響Squid 3.x(<3.5.15)?和Squid 4.x(<4.0.7)版本。

根據CNVD普查情況，受漏洞影響Squid的服務器共計約47.5萬臺，主要分布在經濟較發達、信息化水平發展較快的國家和地區。在全球范圍內排名前五的國家分別是：美國（占比52.9%）、羅馬尼亞（9.7%）、中國（8.6%）、英國（2.3%）、德國（1.9%）。在中國境內，共有約4.1萬臺服務器受漏洞影響，排名前五的省份分別為：四川（占比43.6%）、山東(21.1%)、北京（6.5%）、廣東（3.3%）、上海(3.0%)。

三、漏洞修復建議

Squid生產廠商已發布了安全補丁修復該漏洞，CNVD建議相關用戶及時下載使用，避免引發漏洞相關的網絡安全事件。安全更新參考以下廠商鏈接：

http://www.squid-cache.org/Versions/v4/changesets/squid-4-14548.patch

http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13990.patch

http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13993.patch

http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13991.patch

附：參考鏈接：

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2569

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2570

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2571

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2572

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01443

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01442

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01441

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01440