关键漏洞信息 漏洞ID SQUID-2019:10 发布日期 2019年11月5日 漏洞描述 HTTP Request Splitting 问题: - 由于不正确的消息解析,Squid在HTTP消息处理中存在HTTP请求分割问题。 影响版本 Squid 3.0 - 3.5.28 Squid 4.x - 4.8 修复版本 Squid 4.9 严重性 允许攻击者通过前端软件将HTTP请求走私到Squid,这将分割HTTP请求管道。导致响应消息在客户端和Squid之间以及在具有攻击者控制内容的任意URL之间缓存。 影响仅限于攻击者客户端和Squid之间的软件。 更新包 此漏洞在Squid版本4.9中修复。 - Squid 4: 确定版本是否脆弱 所有Squid-3.x版本至3.5.28均易受攻击。 所有Squid-4.x版本至4.8均易受攻击。 解决方案 没有针对此漏洞的变通方法。 报告和联系方式 联系Squid项目: - 使用发行版本Squid时,应联系包厂商查询更新包可用性。 - 来自原始Squid源构建Squid时,可与squid-users@lists.squid-cache.org邮件列表联系。 - 安全敏感性漏洞通过squid-bugs@lists.squid-cache.org邮件列表报告。 致谢 此漏洞由Rãfãçgis Leroy(Makina Corpus的regilero)发现。 由Treehouse Networks Ltd的Amos Jeffries修复。