金曜日, 3月 12, 2010

【情報シェア】squid HTCP DoSセキュリティ問題(CVE-2010-0639)に付いて

問題内容↓
squid(v2.xと3)キャッシュ機能が無効とhtpcリクエスト対応状態で、もしHTCP悪戯リクエストがきましたらsquidがcrashになってしまう状態で自動にデーモンが上がらない可能性が高いです。
原因はHTCPリクエスト対応コードの中にnull-pointerバグがあります。

本問題に付いてDoS攻撃になるので早めにパッチを入れた方が良いと思います、なお、htcp悪戯攻撃もアチコチにも発見されましたが現在UScertのアラートが上がってる状態です。

殆どプロキシ製品はsquidベースが多いのでDoSリスクは現在非常に高いです。
本件の問題に当たって2月中旬からcveに登録済みですけれども、運用レベルにはパッチ提供の対応が問題になってしまいます。unix-distroパッケージ待ち状況は殆どです。このブログに一応きちんと説明をすると。

本問題に付いてCVE-2010-0639の情報に何回かアップグレードされてるので3月頭には情報がやっとまてめました。

一応コンパイル版使いsquid管理者だとメーカーから正式なパッチが出たがwww.squid-cache.orgからダウンロードしてパッチのみでsquidをリコンパイルして下さい。パッチ情報↓
http://www.squid-cache.org/Versions/v2/2.7/changesets/12600.patch

redhatのrpmパッケージはhtcpリクエスト対応無しでバイナリーを提供されたので本問題に付いては問題ございません。redhat的には対応必要が無いみたいなニュアンスとなりました。

さらにfreebsdとその他linuxOSはそれぞれのパッケージリリース対応となり、待ってるしか無いです。
htcpが来ないワークアラウンドもあるから…その方向で先にやった方が確実に早いです。
今日の時点ではmandrakeパッケージが出た、debianも出たきがします…

追加情報、キャッシュプロキシやacl位に普通に使えばsquidコンパイル済みパッケージでまだ十分ですが意外な使い方はソースでコンパイルしたら楽かも知れないです。

---
unixfreaxjp

0 件のコメント:

コメントを投稿