烏賊快取Squid Cache錯誤訊息網頁成XSS媒介

 

圖片來源:https://upload.wikimedia.org/wikipedia/zh/thumb/b/b7/Squid-cache_logo.jpg/200px-Squid-cache_logo.jpg

以C++開發之Squid Cache係開源的HTTP代理伺服器,可當快取伺服器並過濾流量,支援Unix、mac OS X、Linux、Windows等平台,運行HTTP、HTTPS、FTP等主流協定,應用於多種防火牆及影音串流服務,經德國研究員Nikolas Lohmann分析,Squid之錯誤訊息樣本網頁ERR_SECURE_CONNECT_FAIL,因特定變數處理不當,無法辨識http程式轉意字元,若接收到惡意X.509憑證內容,將遭注入任意html code,所產生之警告網頁在受害瀏覽器發動Cross-Site Scripting,相當諷刺,攻擊者竟可藉由啟動TLS/SSL安全設定,找到滲透入口,反而取消”–enable-ssl”或”–with-openssl”能避免生成夾帶XSS的官方訊息,Squid project已釋出更新版本,舊版修補方式亦同步公告。

影響產品:

  • Squid 3.1.12.1 ~1.23
  • Squid 3.2.0.4 ~5.28
  • Squid 4.0 ~3

解決辦法:

資料來源:

回到頂端