Squid Proxy NULL URL字符未授权访问漏洞

admin
admin
admin
0
文章
0
评论
2022-07-15 14:35:47 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Squid Proxy NULL URL字符未授权访问漏洞

  • CNNVD编号:CNNVD-200403-081
  • 危害等级: 高危
  • CVE编号: CVE-2004-0189
  • 漏洞类型: 输入验证
  • 发布时间: 2004-03-15
  • 威胁类型: 远程
  • 更新时间: 2005-10-12
  • 厂        商: squid
  • 漏洞来源: Mitch Adair

漏洞简介

Squid(全称Squid Cache)是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。 Squid代理在处理NULL URL字符时存在问题,远程攻击者可以利用这个漏洞绕过访问控制,未授权访问资源。 Squid存在一个解码问题允许用户绕过使用\'\'url_regex\'\' ACL类型的访问控制。如果\"\\%00\"出现在URL中,以前的squid版本解码时会插入NUL字符,如考虑下面的访问控制配置: acl BadSite url_regex www\.example\.com http_access deny BadSite 用户请求URL: [email protected]/\" target=\"_blank\">http://foo\\%[email protected]/ 受此影响的Squid会在\"foo\"之前插入一个NUL字符,并在\" http://foo\"和\"www\.example\.com \"之间做一个对比,这个对比可造成匹配不正确,而使用户请求不被拒绝,成功绕过限制规则。

漏洞公告

厂商补丁: Squid ----- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Squid Upgrade squid-2.5.STABLE5.tar.gz

http://www.squid-cache.org/Versions/v2/2.5/squid-2.5.STABLE5.tar.gz

参考网址

来源: www.squid-cache.org 链接:http://www.squid-cache.org/Advisories/SQUID-2004_1.txt 来源: BID 名称: 9778 链接:http://www.securityfocus.com/bid/9778 来源: XF 名称: squid-urlregex-acl-bypass(15366) 链接:http://xforce.iss.net/xforce/xfdb/15366 来源: REDHAT 名称: RHSA-2004:134 链接:http://www.redhat.com/support/errata/RHSA-2004-134.HTML 来源: REDHAT 名称: RHSA-2004:133 链接:http://www.redhat.com/support/errata/RHSA-2004-133.HTML 来源: OSVDB 名称: 5916 链接:http://www.osvdb.org/5916 来源: MANDRAKE 名称: MDKSA-2004:025 链接:http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:025 来源: DEBIAN 名称: DSA-474 链接:http://www.debian.org/security/2004/dsa-474 来源: GENTOO 名称: GLSA-200403-11 链接:http://security.gentoo.org/glsa/glsa-200403-11.xml 来源: BUGTRAQ 名称: 20040401 [OpenPKG-SA-2004.008] OpenPKG Security Advisory (squid) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108084935904110&w=2 来源: CONECTIVA 名称: CLA-2004:838 链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000838 来源: SGI 名称: 20040404-01-U 链接:ftp://patches.sgi.com/support/free/security/advisories/20040404-01-U.asc 来源: SCO 名称: SCOSA-2005.16 链接:ftp://ftp.sco.com/pub/updates/UnixWare/SCOSA-2005.16/SCOSA-2005.16.txt 来源: US Government Resource: oval:org.mitre.oval:def:941 名称: oval:org.mitre.oval:def:941 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:941 来源: US Government Resource: oval:org.mitre.oval:def:877 名称: oval:org.mitre.oval:def:877 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:877

受影响实体

  • Squid Squid:2.4_stable7  
  • Squid Squid:2.5_stable3  
  • Squid Squid:2.0_patch2  
  • Squid Squid:2.1_patch2  
  • Squid Squid:2.3_stable5  

补丁

    暂无

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0