本件セキュリティ問題に付いて下記のSquidバーションに影響があります↓
Squid 3.0 ~ 3.0.STABLE25
Squid 3.1 ~ 3.1.7
Squid 3.2 ~ 3.2.0.1
Squid 3.1 ~ 3.1.7
Squid 3.2 ~ 3.2.0.1
※下記のバーションには影響がありません
Squid 3.1.8
Squid 3.2.0.2
Squid 3.2.0.2
問題の説明↓
squidのSTRINGハンドルのバグがあり(NULL pointer dereference)、ある条件レクエストでsquidサービスはDoS状態になってしまいます。「TRUSTED」ユーザ側から本件のバグを使われたらDoS攻撃リスクが出ます。
追加セキュリティ情報↓
Class: Unknown
CVE: N/A
Remote: Yes
Local: No
Published: Sep 03 2010 12:00AM
Updated: Sep 15 2010 09:41AM
Checked: Sep 16 2010 00:33AM JST
Credit: Phil Oester
CVE: N/A
Remote: Yes
Local: No
Published: Sep 03 2010 12:00AM
Updated: Sep 15 2010 09:41AM
Checked: Sep 16 2010 00:33AM JST
Credit: Phil Oester
解決方法↓
最新版squidバーション(3.1.8と3.2.0.2)には本件のバグをフィックスされております。squid.orgからダウンロードが出来ます。
直ぐにアップグレードが出来ない場合下記のワークアラウンドがあります↓
1)「squid.conf」にある「ignore_expect_100」項目 を「off」に設定して下さい、又はその項目を「squid.conf」から外して下さい。
2)「--disable-http-violations」のオップションで「squid」をもう一度コンパイルして下さい。
直ぐにアップグレードが出来ない場合下記のワークアラウンドがあります↓
1)「squid.conf」にある「ignore_expect_100」項目 を「off」に設定して下さい、又はその項目を「squid.conf」から外して下さい。
2)「--disable-http-violations」のオップションで「squid」をもう一度コンパイルして下さい。
リファレンス↓
http://www.squid-cache.org/Advisories/SQUID-2010_3.txt
http://www.securityfocus.com/bid/42982/discuss
http://www.securityfocus.com/bid/42982/discuss
---
http://0day.jp
unixfreaxjp
0 件のコメント:
コメントを投稿