漏洞信息详情

Varnish HTTP Cache 安全漏洞

• CNNVD编号：CNNVD-201708-243
• 危害等级： 高危
  
• CVE编号： CVE-2017-12425
• 漏洞类型： 输入验证错误
• 发布时间： 2017-08-11
• 威胁类型： 远程
• 更新时间： 2022-06-22
• 厂        商： varnish-cache
• 漏洞来源：

漏洞简介

Varnish HTTP Cache是丹麦软件开发者Poul-Henning Kamp所研发的一款高性能、开源的反向代理服务器和缓存服务器。该服务器采用Visual Page Cache技术，可实现所有缓存的数据直接从内存读取，从而提高访问速度。

Varnish HTTP Cache中存在安全漏洞。攻击者可利用该漏洞造成拒绝服务（varnishd worker进程中止和重启），并造成进程内容丢失。以下版本受到影响：Varnish HTTP Cache 4.0.1版本至4.0.4版本，4.1.0版本至4.1.7版本，5.0.0版本，5.1.0版本至5.1.2版本。

漏洞公告

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.varnish-cache.org/security/VSV00001.HTML#vsv00001

参考网址

来源:CONFIRM

链接:https://lists.debian.org/debian-security-announce/2017/msg00186.HTML

来源:DEBIAN

链接:https://www.debian.org/security/2017/dsa-3924

来源:CONFIRM

链接:https://github.com/varnishcache/varnish-cache/issues/2379

来源:CONFIRM

链接:https://bugzilla.suse.com/show_bug.cgi?id=1051917

来源:CONFIRM

链接:https://www.varnish-cache.org/security/VSV00001.HTML#vsv00001

来源:CONFIRM

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1477222

受影响实体

• Varnish-Cache Varnish:4.0.3:Rc-3  
• Varnish-Cache Varnish:4.1.2  
• Varnish-Cache Varnish:4.1.1:Beta2  
• Varnish-Cache Varnish:4.1.0:Tp-1  
• Varnish-Cache Varnish:4.1.1  

补丁

• Varnish HTTP Cache 安全漏洞的修复措施