RHEL 9：squid (RHSA-2024: 0072)

high Nessus 插件 ID 187675

语言：

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 9 主机上安装的一个程序包受到 RHSA-2024: 0072 公告中提及的多个漏洞的影响。

- Squid 是 Web 的缓存代理。由于对指定索引缺陷的验证不正确，使用“--with-openssl”编译的 Squid 版本 3.3.0.1 到 5.9 和 6.0 至 6.4 很容易受到针对 SSL 证书验证的拒绝服务攻击的影响。此问题允许远程服务器通过使用服务器证书链中特制的 SSL 证书启动 TLS 握手来针对 Squid 代理执行拒绝服务。此攻击仅限于 HTTPS 和 SSL-Bump。该错误在 Squid 版本 6.4 中已修复。还可以在 Squid 的补丁档案中找到解决稳定版本中此问题的补丁。使用 Squid 预打包版本的用户应向软件包供应商咨询有关更新软件包的可用性信息。(CVE-2023-46724)

- Squid 是适用于 Web 的缓存代理，支持 HTTP、HTTPS、FTP 等。由于空指针取消引用错误，Squid 的 Gopher 网关容易遭受拒绝服务攻击。在 6.0.1 版本之前的 Squid 中，gopher 协议始终可用并在 Squid 中启用。触发此错误的响应可以从任何 gopher 服务器接收，即使是那些没有恶意的服务器。已在 Squid 版本 6.0.1 中移除 Gopher 支持。建议所有用户都进行升级。无法升级的用户应拒绝所有 gopher URL 请求。(CVE-2023-46728)

- Squid 是适用于 Web 的缓存代理，支持 HTTP、HTTPS、FTP 等。由于缓冲区溢出错误，Squid 容易受到针对 Squid HTTP 消息处理的拒绝服务攻击。该错误已在 Squid 版本 6.5 中修复。建议所有用户都进行升级。目前尚无针对此漏洞的解决方案。
(CVE-2023-49285)

- Squid 是适用于 Web 的缓存代理，支持 HTTP、HTTPS、FTP 等。由于函数返回值检查不正确错误，Squid 容易受到针对其 Helper 进程管理的拒绝服务攻击。该错误已在 Squid 版本 6.5 中修复。建议所有用户都进行升级。目前尚无针对此漏洞的变通方案。(CVE-2023-49286)

- 由于结构元素处理不当错误，Squid 的 HTTP 和 HTTPS 客户端容易受到拒绝服务攻击。(CVE-2023-5824)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。