Squid proxyszerver memória túlcsordulásos sérülékenység

Squid proxyszerver memória túlcsordulásos sérülékenység
Angol cím: Buffer overflow vulnerability in Squid proxy

CH azonosító: CH-14781
Publikálás dátuma: 2020.02.06.
Utolsó módosítás dátuma: 2020.02.06.

Leírás

A CVE-2020-8450 számon a Squid proxyszervereket érintő, kritikus kockázati besorolású sérülékenység vált ismertté, amely kihasználásával a távoli támadó memória túlcsordulást okozhat a reverse proxyként működő eszközökön, ezzel megvalósítva a szolgáltatás megtagadásos körülményeket.

Leírás forrása: Egyéb referencia: exchange.xforce.ibmcloud.com Leírás utolsó módosítása: 2020.02.06.

Elemzés leírás

A Squid nyílt forráskódú HTTP(S) és FTP proxy szerver, amely a legtöbb elérhető operációs rendszeren használható. A gyakran felkeresett weboldalak gyorsítótárazásával csökkenti a szükséges sávszélességet és jelentősen képes javítani a válaszidőt.

A most ismertetett sérülékenységet a nem megfelelő pufferkezelés okozza, kihasználásához a távoli támadónak egy speciálisan kialakított kérést kell küldeni az érintett eszköz felé. Sikeres kihasználás esetén a támadó tetszőleges kódfuttatási jogosultságot szerezhet, illetve memória túlcsordulást okozhat az érintett eszközön, ezzel megvalósítva a szolgáltatás megtagadásos körülményeket.

Érintett verziók:

Squid 4.10 előtti verziók

A gyártó honlapján közzétette a hiba javítását tartalmazó frissítést.

Elemzés leírás forrása: Egyéb referencia: exchange.xforce.ibmcloud.com Elemzés leírás utolsó módosítása: 2020.02.06.

Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):