一、概要

近日，華為云關(guān)注到Squid官方披露了一個(gè)緩沖區(qū)溢出漏洞（CVE-2019-12526）。由于不正確的緩沖區(qū)管理，攻擊者可以在無(wú)需身份驗(yàn)證的條件下，通過(guò)構(gòu)造精心設(shè)計(jì)的HTTP請(qǐng)求利用此漏洞，可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

華為云提醒用戶(hù)及時(shí)安排自檢并做好安全加固。

參考鏈接：

http://www.squid-cache.org/Advisories/SQUID-2019_7.txt

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

受影響版本：

Squid 3.x 至 3.5.28（包括3.5.28）

Squid-4.x 至 4.8（包括4.8）

安全版本：

Squid 4.9

（注：Squid-2.x不受該漏洞影響）

四、處置方案

目前Squid官方已在最新的4.9版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶(hù)升級(jí)至安全版本。

下載鏈接：http://www.squid-cache.org/Versions/v4/

臨時(shí)規(guī)避措施：

禁用URN，其配置參考如下：

acl URN proto URN

http_access deny URN

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。