公告ID（KYSA-202108-1016）

摘要：squid漏洞安全等級(jí)：中等公告ID：KYSA-202108-1016 發(fā)布日期：2021-08-20 影響CVE：CVE-2021-28651、CVE-2021-28652、CVE-2021-28662、CVE-2021-31806、CVE-2021-31808、CVE-2021-33620

詳細(xì)介紹

1. 修復(fù)的CVE信息

CVE-2021-28651
描述：在 4.15 之前的 Squid 和 5.0.6 之前的 5.x 中發(fā)現(xiàn)了一個(gè)問題。由于緩沖區(qū)管理錯(cuò)誤，它允許拒絕服務(wù)。當(dāng)使用 urn: 方案解析請(qǐng)求時(shí)，解析器會(huì)泄漏少量內(nèi)存。但是，有一種未指定的攻擊方法可以輕松觸發(fā)大量內(nèi)存消耗。
CVE-2021-28652
描述：在 4.15 之前的 Squid 和 5.0.6 之前的 5.x 中發(fā)現(xiàn)了一個(gè)問題。由于解析器驗(yàn)證不正確，它允許對(duì)緩存管理器 API 進(jìn)行拒絕服務(wù)攻擊。這允許受信任的客戶端觸發(fā)內(nèi)存泄漏。隨著時(shí)間的推移，通過未指定的短查詢字符串導(dǎo)致拒絕服務(wù)。此攻擊僅限于具有緩存管理器 API 訪問權(quán)限的客戶端。
CVE-2021-28662
描述：在 4.15 之前的 Squid 4.x 和 5.0.6 之前的 5.x 中發(fā)現(xiàn)了一個(gè)問題。如果遠(yuǎn)程服務(wù)器通過 HTTP 或 HTTPS 發(fā)送某個(gè)響應(yīng)標(biāo)頭，則存在拒絕服務(wù)。此標(biāo)頭可能出現(xiàn)在良性網(wǎng)絡(luò)流量中。
CVE-2021-31806
描述：在 4.15 之前的 Squid 和 5.0.6 之前的 5.x 中發(fā)現(xiàn)了一個(gè)問題。由于內(nèi)存管理錯(cuò)誤，它容易受到通過 HTTP 范圍請(qǐng)求處理的拒絕服務(wù)攻擊（針對(duì)所有使用代理的客戶端）。
CVE-2021-31808
描述：在 4.15 之前的 Squid 和 5.0.6 之前的 5.x 中發(fā)現(xiàn)了一個(gè)問題。由于輸入驗(yàn)證錯(cuò)誤，它容易受到拒絕服務(wù)攻擊（針對(duì)所有使用代理的客戶端）?？蛻舳税l(fā)送一個(gè) HTTP 范圍請(qǐng)求來觸發(fā)它。
CVE-2021-33620
描述：4.15 之前的 Squid 和 5.0.6 之前的 5.x 允許遠(yuǎn)程服務(wù)器通過 HTTP 響應(yīng)導(dǎo)致拒絕服務(wù)（影響所有客戶端的可用性）。問題觸發(fā)器是一個(gè)標(biāo)頭，可以預(yù)期它存在于 HTTP 流量中，而服務(wù)器沒有任何惡意意圖。