Squid proxyszerver memória túlcsordulásos sérülékenység

CH azonosító: CH-14781
Cím: Squid proxyszerver memória túlcsordulásos sérülékenység
Angol cím: Buffer overflow vulnerability in Squid proxy

Publikálás dátuma: 2020.02.06.
Utolsó módosítás dátuma: 2020.02.06.


Leírás

A CVE-2020-8450 számon a Squid proxyszervereket érintő, kritikus kockázati besorolású sérülékenység vált ismertté, amely kihasználásával a távoli támadó memória túlcsordulást okozhat a reverse proxyként működő eszközökön, ezzel megvalósítva a szolgáltatás megtagadásos körülményeket.


Leírás forrása: Egyéb referencia: exchange.xforce.ibmcloud.com
Leírás utolsó módosítása: 2020.02.06.


Elemzés leírás

Squid nyílt forráskódú HTTP(S) és FTP proxy szerver, amely a legtöbb elérhető operációs rendszeren használható. A gyakran felkeresett weboldalak gyorsítótárazásával csökkenti a szükséges sávszélességet és jelentősen képes javítani a válaszidőt.

A most ismertetett sérülékenységet a nem megfelelő pufferkezelés okozza, kihasználásához a távoli támadónak egy speciálisan kialakított kérést kell küldeni az érintett eszköz felé. Sikeres kihasználás esetén a támadó tetszőleges kódfuttatási jogosultságot szerezhet, illetve memória túlcsordulást okozhat az érintett eszközön, ezzel megvalósítva a szolgáltatás megtagadásos körülményeket.

Érintett verziók:

  • Squid 4.10 előtti verziók

 

A gyártó honlapján közzétette a hiba javítását tartalmazó frissítést.


Elemzés leírás forrása: Egyéb referencia: exchange.xforce.ibmcloud.com
Elemzés leírás utolsó módosítása: 2020.02.06.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

Egyéb referencia: exchange.xforce.ibmcloud.com
Egyéb referencia: www.squid-cache.org
Egyéb referencia: cve.mitre.org
Egyéb referencia: security-tracker.debian.org
CVE-2020-8450 - NVD CVE-2020-8450