修正代理发布 ,修复了 5 个漏洞。 2019 个漏洞 (CVE-12527-XNUMX) 可能使用服务器进程的权限组织代码执行。
该问题是由 HTTP 基本身份验证处理程序中的错误引起的,并且在访问 Squid 缓存时传递特制凭据时会触发缓冲区溢出
管理器或内置 FTP 网关。 该漏洞从 Squid 4.0.23 版本开始出现。 作为阻止该漏洞的解决方法,您可以使用“--disable-auth-basic”选项重建squid,或者在配置中禁用对使用HTTP身份验证的服务的访问:
acl FTP 原型 FTP
http_access 拒绝 FTP
http_access 拒绝管理器
其他三个漏洞在操作cachemgr.cgi、HTTP Digest 或HTTP Basic 身份验证时可能会导致拒绝服务。 剩下的漏洞允许通过cachemgr.cgi 进行跨站点脚本编写。
来源: opennet.ru