从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Squid-2024:4 Multiple issues in ESI - 发布者:yadij - 发布日期:11小时前 - 严重性:高 - CVSS v3 base metrics: - Attack vector:网络 - Attack complexity:低 - Privileges required:无 - User interaction:无 - Scope:不变 - Confidentiality:无 - Integrity:无 - Availability:高 - CVE ID:CVE-2024-45802 - Weaknesses:无CWEs - Credits:由MegaManSec发现 2. 受影响的版本: - 受影响的版本:3.0-6 - 已修复的版本:7.0 3. 描述: - Squid由于输入验证、资源提前释放、资源在预期生命周期结束时未释放等问题,导致在使用代理的客户端上存在拒绝服务攻击的风险。 4. 漏洞利用: - 漏洞利用方式:通过处理ESI响应内容时的拒绝服务攻击。 - 受影响的环境:仅在Squid作为反向代理时受影响,ESI功能在所有版本中默认启用,但在6.10版本中默认禁用。 5. 修复措施: - 已修复的版本:Squid 6.10默认禁用ESI功能。 - 工作绕过:在构建受影响的Squid时使用 选项。 6. 联系信息: - 安装/升级支持:通过二进制包供应商。 - 报告非安全漏洞:使用squid-bugzilla数据库。 - 报告安全漏洞:使用squid-bugs@lists.squid-cache.org邮件列表。 7. 修订历史: - 2021-02-28:初始报告 - 2024-03-13:ESI功能在默认情况下禁用 - 2024-06-08:Squid 6.10发布,ESI功能默认禁用 这些信息提供了关于Squid-2024:4漏洞的详细描述、影响范围、修复措施和联系信息。