自2001年以来,脆弱性未被发现
更新开源Web代理Squid在HTTP Digesbeplay体育能用吗t身份验证中修补了三个安全漏洞,其中一个关键缺陷可能允许攻击者安排中间的攻击。
在安全研究人员找到实现相同目标的替代方法之后,更新固定了另一个高度严重的内存错误,从而创造了一个具有相同影响的额外缺陷。
法国安全服装Synacktiv发现了乌贼beplay体育能用吗在安全评估期间,Web代理减少了数百个ISP和数千个网站的带宽使用。
Synacktiv研究人员ClémentBerthaux告诉每日swbeplay2018官网ig他和同事弗洛里安·吉尔伯特(Florian Guilbert)发现的缺陷“与2001年实施消化验证的第一个承诺一起被引入。
中间鱿鱼
关键的,无使用后的缺陷(CVE-2020-11945)squid对HTTP Digest Authentication令牌的凭据重播和远程代码执行攻击开放。
在一个博客文章Berthaux和Guilbert于5月4日出版,讲述了一个“相当危险”的16位整数被用作NONCE参考计数器。
两对猜测执行“足够的请求”溢出计数器“在收集垃圾的相关用户对象之前”将“触发无用的无用漏洞”。
但是贝尔托斯告诉每日swbeplay2018官网ig由于缺乏“工作利用”,需要身份验证,因此剥削的可能性“在野外似乎很低”,并且需要将“鱿鱼”配置为使用摘要作为其身份验证方案”。
但是,成功的攻击者可以“在基础服务器上执行任意代码”,并创建“一个特别有趣的中间人情况”。
Berthaux补充说:“此外,许多公司在鱿鱼中启用了SSLBUMP(又名SSL/TLS拦截)功能,用于缓存或安全目的。
“在这种配置中,攻击者将能够窃听和更改公司用户与互联网之间的所有通信,甚至可以改变使用HTTPS的通信。”
这信息披露脆弱性(CVE-2019-18679)之所以出现,是因为Nonce令牌包含在堆内存分配中发现的指针的原始字节值。
这意味着攻击者可以绕过ASLR [地址空间布局随机化]和隔离内存区域以定位远程代码执行攻击。
当“查看补丁”随后时,Berthaux告诉每日swbeplay2018官网ig“我们发现仍然有可能通过蛮力来恢复指针价值”。
披露时间表
Synacktiv于11月19日通知了鱿鱼项目维护者无使用后的缺陷,而记忆泄漏漏洞首先是由另一位研究人员David Fifield发现的,并于11月7日在4.9固定。
在鱿鱼4.10中修补了产生的蛮力脆弱性。
然后将剩余的关键缺陷固定在4月19日降落的鱿鱼4.11中。
贝尔瑟(Berthaux)说,等待最新更新的应用“禁用此身份验证方案将阻止任何利用尝试”。
Squid释放维护者Amos Jeffries说,“我们非常感谢”由“下游分销商及其客户”雇用的IT安全公司的工作,并补充说Squid还定期部署了“静态分析工具和CI稳定性系统”。
鱿鱼用户可以订阅邮件列表专门针对Squid Project发布的咨询和发行说明。
本文于5月13日更新,此后对与CVE-2019-18679相关的技术详细信息进行了更新,此前,Squid Project Vailiter Amos Jeffries的反馈。
