Squid Proxy TRACE请求远程拒绝服务漏洞

漏洞信息详情

Squid Proxy TRACE请求远程拒绝服务漏洞

• CNNVD编号：CNNVD-200703-538
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2007-1560
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2007-03-21
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-04-02
  
• 厂        商：
  
  squid
• 漏洞来源：
  Squid squidsecurit…

Squid是一个高效的Web缓存及代理程序，最初是为Unix平台开发的，现在也被移植到Linux和大多数的Unix类系统中。最新的Squid可以运行在Windows平台下。
Squid的squid/src/client_side.c文件没有正确地处理TRACE请求，如果用户发送了特制的TRACE请求的话，就可能导致服务崩溃。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接： 临时解决方法：
* 在第一条http_access规则前添加以下两行：

acl TRACE method TRACE

http_access deny TRACE
厂商补丁：
Squid
—–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.squid-cache.org/Versions/v2/2.6/changesets/11349.patch
Gentoo
——
Gentoo已经为此发布了一个安全公告(GLSA-200703-27)以及相应补丁:

GLSA-200703-27：Squid: Denial of Service

链接：
http://security.gentoo.org/glsa/glsa-200703-27.xml

所有Squid用户都应升级到最新版本：

# emerge –sync

# emerge –ask –oneshot –verbose “>=net-proxy/squid-2.6.12”

来源: www.squid-cache.org
链接:http://www.squid-cache.org/Advisories/SQUID-2007_1.txt

来源: VUPEN
名称: ADV-2007-1035
链接:http://www.frsirt.com/english/advisories/2007/1035

来源: SECUNIA
名称: 24611
; Patch Information
链接:http://secunia.com/advisories/24611

来源: XF
名称: squid-clientprocessrequest-dos(33124)
链接:http://xforce.iss.net/xforce/xfdb/33124

来源: www.squid-cache.org
链接:http://www.squid-cache.org/Versions/v2/2.6/changesets/11349.patch

来源: SECTRACK
名称: 1017805
链接:http://www.securitytracker.com/id?1017805

来源: SECUNIA
名称: 24625
链接:http://secunia.com/advisories/24625

来源: SECUNIA
名称: 24614
链接:http://secunia.com/advisories/24614

来源: MANDRIVA
名称: MDKSA-2007:068
链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:068

来源: UBUNTU
名称: USN-441-1
链接:http://www.ubuntu.com/usn/usn-441-1

来源: BID
名称: 23085
链接:http://www.securityfocus.com/bid/23085

来源: REDHAT
名称: RHSA-2007:0131
链接:http://www.redhat.com/support/errata/RHSA-2007-0131.html

来源: SUSE
名称: SUSE-SR:2007:005
链接:http://www.novell.com/linux/security/advisories/2007_5_sr.html

来源: MANDRIVA
名称: MDKSA-2007:068
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2007:068

来源: GENTOO
名称: GLSA-200703-27
链接:http://security.gentoo.org/glsa/glsa-200703-27.xml

来源: SECUNIA
名称: 24911
链接:http://secunia.com/advisories/24911

来源: SECUNIA
名称: 24662
链接:http://secunia.com/advisories/24662