低危 Squid 信息泄露安全漏洞

CVE编号

CVE-2019-12528

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-02-05

漏洞描述

Squid是一种流行的开源Internet代理和Web缓存应用程序。Squid 4.10之前版本在实现中存在信息泄露漏洞，通过构造的FTP服务器，攻击者利用此漏洞可获取其他用户会话或者非Squid进程的信息。<br>

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：http://www.squid-cache.org/Advisories/SQUID-2020_2.txt

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00012.html
http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00010.html
http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00018.html
http://www.squid-cache.org/Advisories/SQUID-2020_2.txt
https://lists.debian.org/debian-lts-announce/2020/07/msg00009.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202003-34
https://usn.ubuntu.com/4289-1/
https://www.debian.org/security/2020/dsa-4682

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	squid-cache	squid	*		Up to (excluding) 4.10
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	squid	*		Up to (excluding) 3.5.20-17.1.al7.4
	运行在以下环境
	系统	alpine_3.10	squid	*		Up to (excluding) 4.10-r0
	运行在以下环境
	系统	alpine_3.11	squid	*		Up to (excluding) 4.10-r0
	运行在以下环境
	系统	alpine_3.12	squid	*		Up to (excluding) 4.10-r0
	运行在以下环境
	系统	alpine_3.13	squid	*		Up to (excluding) 4.10-r0
	运行在以下环境
	系统	alpine_3.14	squid	*		Up to (excluding) 4.10-r0
	运行在以下环境
	系统	alpine_3.15	squid	*		Up to (excluding) 4.10-r0
	运行在以下环境
	系统	alpine_3.16	squid	*		Up to (excluding) 4.10-r0
	运行在以下环境
	系统	alpine_3.17	squid	*		Up to (excluding) 4.10-r0
	运行在以下环境
	系统	alpine_3.18	squid	*		Up to (excluding) 4.10-r0
	运行在以下环境
	系统	alpine_3.8	squid	*		Up to (excluding) 3.5.27-r4
	运行在以下环境
	系统	alpine_3.9	squid	*		Up to (excluding) 4.10-r0
	运行在以下环境
	系统	alpine_edge	squid	*		Up to (excluding) 4.10-r0
	运行在以下环境
	系统	amazon_2	squid	*		Up to (excluding) 3.5.20-15.amzn2.1.1
	运行在以下环境
	系统	amazon_AMI	squid	*		Up to (excluding) 3.5.20-17.41.amzn1
	运行在以下环境
	系统	anolis_os_8	squid	*		Up to (excluding) 4.11-4
	运行在以下环境
	系统	centos_7	squid	*		Up to (excluding) 3.5.20-17.el7_9.4
	运行在以下环境
	系统	centos_8	libecap-debugsource	*		Up to (excluding) 4.11-3.module+el8.3.0+7851+7808b5f9
	运行在以下环境
	系统	debian_10	squid	*		Up to (excluding) 4.6-1+deb10u2
	运行在以下环境
	系统	debian_11	squid	*		Up to (excluding) 4.10-1
	运行在以下环境
	系统	debian_12	squid	*		Up to (excluding) 4.10-1
	运行在以下环境
	系统	debian_9	squid3	*		Up to (excluding) 3.5.23-5+deb9u2
	运行在以下环境
	系统	debian_sid	squid	*		Up to (excluding) 4.10-1
	运行在以下环境
	系统	fedora_30	squid	*		Up to (excluding) 4.10-3.fc30
	运行在以下环境
	系统	fedora_31	squid-debuginfo	*		Up to (excluding) 4.10-3.fc31
	运行在以下环境
	系统	opensuse_Leap_15.1	squid	*		Up to (excluding) 4.10-lp151.2.11.1
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 3.5.20-17.el7_9.4
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 1.0.1-2.module+el8.3.0+7819+eb7d4ef6
	运行在以下环境
	系统	redhat_7	squid	*		Up to (excluding) 3.5.20-17.el7_9.4
	运行在以下环境
	系统	redhat_8	libecap-debugsource	*		Up to (excluding) 4.11-3.module+el8.3.0+7851+7808b5f9
	运行在以下环境
系统	suse_12	squid	*		Up to (excluding) 3.5.21-26.20
运行在以下环境
系统	suse_12_SP4	squid	*		Up to (excluding) 3.5.21-26.20.1
运行在以下环境
系统	suse_12_SP5	squid	*		Up to (excluding) 4.11-4.9.1
运行在以下环境
系统	ubuntu_16.04	squid3	*		Up to (excluding) 3.5.12-1ubuntu7.10
运行在以下环境
系统	ubuntu_16.04.7_lts	squid3	*		Up to (excluding) 3.5.12-1ubuntu7.10
运行在以下环境
系统	ubuntu_18.04	squid3	*		Up to (excluding) 3.5.27-1ubuntu1.5
运行在以下环境
系统	ubuntu_18.04.5_lts	squid3	*		Up to (excluding) 3.5.27-1ubuntu1.5
运行在以下环境
系统	ubuntu_20.04	squid	*		Up to (excluding) 4.9-2ubuntu4
运行在以下环境
系统	ubuntu_21.04	squid	*		Up to (excluding) 4.9-2ubuntu4
运行在以下环境
系统	unionos_d	squid	*		Up to (excluding) 4.6-1+deb10u2

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-200	信息暴露
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com