安全公告编号:CNTA-2016-0013

近期，国家信息安全漏洞共享平台（CNVD）收录了Squid存在的多个拒绝服务漏洞（CNVD-2016-01440、CNVD-2016-01441、CNVD-2016-01442、CNVD-2016-01443；对应CVE-2016-2569 、CVE-2016-2570 、CVE-2016-2571 、 CVE-2016-2572 ）。攻击者可利用上述漏洞远程发起拒绝服务攻击。

一、漏洞情况分析

Squid（全称Squid Cache）是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。

由于Squid服务器http.cc文件以及EdgeSide Includes(ESI)解析器存在设计缺陷，程序在解析失败时对HTTP响应状态码参数有依赖关系，同时在解析XML对象期间未能检查缓冲区限制，未能正确将数据附加到String对象。远程攻击者可借助畸形的响应信息、构造的XML文档或较长的字符串，造成服务器断言失败和守护进程退出，构成拒绝服务攻击。

 CNVD对上述漏洞的技术评级均为“中危”。 Squid作为应用广泛的服务器软件，漏洞仍有可能被黑客地下产业利用发起以拒绝服务、网络敲诈为目的攻击。

二、漏洞影响范围

漏洞影响Squid 3.x(<3.5.15) 和Squid 4.x(<4.0.7)版本。

根据CNVD普查情况，受漏洞影响Squid的服务器共计约47.5万台，主要分布在经济较发达、信息化水平发展较快的国家和地区。在全球范围内排名前五的国家分别是：美国（占比52.9%）、罗马尼亚（9.7%）、中国（8.6%）、英国（2.3%）、德国（1.9%）。在中国境内，共有约4.1万台服务器受漏洞影响，排名前五的省份分别为：四川（占比43.6%）、山东(21.1%)、北京（6.5%）、广东（3.3%）、上海(3.0%)。

三、漏洞修复建议

Squid生产厂商已发布了安全补丁修复该漏洞，CNVD建议相关用户及时下载使用，避免引发漏洞相关的网络安全事件。安全更新参考以下厂商链接：

http://www.squid-cache.org/Versions/v4/changesets/squid-4-14548.patch

http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13990.patch

http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13993.patch

http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13991.patch

附：参考链接：

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2569

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2570

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2571

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2572

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01443

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01442

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01441

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01440