以C++開發之Squid Cache係開源的HTTP代理伺服器,可當快取伺服器並過濾流量,支援Unix、mac OS X、Linux、Windows等平台,運行HTTP、HTTPS、FTP等主流協定,應用於多種防火牆及影音串流服務,經德國研究員Nikolas Lohmann分析,Squid之錯誤訊息樣本網頁ERR_SECURE_CONNECT_FAIL,因特定變數處理不當,無法辨識http程式轉意字元,若接收到惡意X.509憑證內容,將遭注入任意html code,所產生之警告網頁在受害瀏覽器發動Cross-Site Scripting,相當諷刺,攻擊者竟可藉由啟動TLS/SSL安全設定,找到滲透入口,反而取消”–enable-ssl”或”–with-openssl”能避免生成夾帶XSS的官方訊息,Squid project已釋出更新版本,舊版修補方式亦同步公告。
影響產品:
- Squid 3.1.12.1 ~1.23
- Squid 3.2.0.4 ~5.28
- Squid 4.0 ~3
解決辦法:
- 下載Squid 4.4,參考http://www.squid-cache.org/Versions/v4/
- 修補Squid 3.5,參考http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-f1657a9decc820f748fa3aff68168d3145258031.patch
- 修補Squid 4,參考http://www.squid-cache.org/Versions/v4/changesets/squid-4-828245b90206602014ce057c3db39fb80fcc4b08.patch
資料來源:
- http://www.squid-cache.org/Advisories/SQUID-2018_4.txt
- https://github.com/squid-cache/squid/pull/306
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19131
- http://www.squid-cache.org/Versions/v5/changesets/squid-5-6feeb15ff312f3e145763adf8d234ed6a0b3f11d.patch
- https://zh.wikipedia.org/wiki/Squid_
- http://www.squid-cache.org/
- http://www.squid-cache.org/Intro/
- http://www.squid-cache.org/Intro/who.html
- http://www.squid-cache.org/Versions/v4/
- http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-f1657a9decc820f748fa3aff68168d3145258031.patch
- http://www.squid-cache.org/Versions/v4/changesets/squid-4-828245b90206602014ce057c3db39fb80fcc4b08.patch
