检测

FreeBSD:varnish -- Varnish HTTP 缓存中的 DoS 漏洞 (d9dbe6e8-84da-11e3-98bd-080027f2d077)

medium Nessus 插件 ID 72128

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Varnish Cache 项目报告:

如果 Varnish 接收特定的非法请求,而且子例程“vcl_error{}”重新启动请求,则 varnishd 工作线程进程将因断言而崩溃。

varnishd 管理进程将重新启动工作线程进程,但是服务将短暂中断,而且缓存将耗尽,从而导致更多流量流向后端。

我们发布此公告是因为从 vcl_error{} 重新启动十分常见,而且已有记录。

这是单纯的拒绝服务漏洞,没有权限升级风险。

变通方案

将以下内容插入 VCL 文件顶部:

sub vcl_error { if (obj.status == 400 || obj.status == 413) { return(deliver); } }

或者在现有的 vcl_error{} 顶部添加此测试。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?ac6e5049

http://www.nessus.org/u?3493e18f

插件详情

严重性: Medium

ID: 72128

文件名: freebsd_pkg_d9dbe6e884da11e398bd080027f2d077.nasl

版本: 1.4

类型: local

发布时间: 2014/1/27

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:varnish, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2014/1/25

漏洞发布日期: 2013/10/30

参考资料信息

CVE: CVE-2013-4484