漏洞概述

 

 

漏洞名称

Squid 拒绝服务漏洞

漏洞编号

QVD-2023-30699

公开时间

2023-10-21

影响对象数量级

百万级

奇安信评级

高危

CVSS 3.1分数

9.9

威胁类型

拒绝服务

利用可能性

POC状态

未公开

在野利用状态

未发现

EXP状态

未公开

技术细节状态

未公开

利用条件:需要squid服务器开启digest认证。

 

 

0漏洞详情

影响组件

 

Squid是一个高性能的缓存代理服务器,支持HTTP、HTTPS、FTP等协议。通过使用缓存代理缓存和重用经常访问的web页面,可以节约带宽和提高服务响应。Squid具有权限管理灵活、性能好以及网络加速能力。Squid提供了多种操作系统版本,并使用GPL协议发布。

 

漏洞描述

 

近日,奇安信CERT监测到官方发布Squid 拒绝服务漏洞(QVD-2023-30699)公告。当Squid配置为接受HTTP摘要认证时,可能允许远程客户端执行缓冲区溢出攻击,将高达2MB的任意数据写入堆内存,从而导致对Squid代理的所有用户的拒绝服务攻击。

奇安信CERT已复现此漏洞,鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

 

 

02 影响范围

 

影响版本

3.2.0.1 <= Squid <= 5.9

Squid 6< 6.4

 

其他受影响组件

 

03 复现情况

目前,奇安信CERT已成功复现Squid 拒绝服务漏洞(QVD-2023-30699),截图如下:

04 受影响资产情况

 

奇安信鹰图资产测绘平台数据显示,Squid 拒绝服务漏洞(QVD-2023-30699)关联的国内风险资产总数为245996个,关联IP总数为205842个。国内风险资产分布情况如下:

 

Squid 拒绝服务漏洞(QVD-2023-30699)关联的全球风险资产总数为12152030个,关联IP总数为3904810个。全球风险资产分布情况如下:

 

05 处置建议

 

安全更新

 

目前官方已发布新版本来修复此漏洞,并且为受影响版本发布了补丁,建议用户尽快升级至Squid >= 6.4

 

Squid 5:

http://www.squid-cache.org/Versions/v5/SQUID-2023_3.patch

 

Squid 6:

http://www.squid-cache.org/Versions/v6/SQUID-2023_3.patch

 

 

 

缓解措施

 

 

 

 

 

 

 

将digest认证改为其他认证方式。

 

 

 

Snort 检测方案

 

alert tcp any any -> any 80 (msg:"squid DOS"; flow:to_server,established; content:"Proxy-Authorization|3a 20|Digest"; http_header; pcre:"/nc=\\d{9}/"; metadata:policy balanced-ips drop, service http; classtype:attempted-recon; sid:1000002; rev:1;)

 

 

 

 

06 参考资料

 

 

 

 

 

[1]https://github.com/squid-cache/squid/security/advisories/GHSA-phqj-m8gv-cq4g