Squid缓冲区溢出漏洞预警（CVE-2019-12526）

一、概要

近日，华为云关注到Squid官方披露了一个缓冲区溢出漏洞（CVE-2019-12526）。由于不正确的缓冲区管理，攻击者可以在无需身份验证的条件下，通过构造精心设计的HTTP请求利用此漏洞，可能导致远程代码执行。

华为云提醒用户及时安排自检并做好安全加固。

参考链接：

http://www.squid-cache.org/Advisories/SQUID-2019_7.txt

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

受影响版本：

Squid 3.x 至 3.5.28（包括3.5.28）

Squid-4.x 至 4.8（包括4.8）

安全版本：

Squid 4.9

（注：Squid-2.x不受该漏洞影响）

四、处置方案

目前Squid官方已在最新的4.9版本中修复了该漏洞，请受影响的用户升级至安全版本。

下载链接：http://www.squid-cache.org/Versions/v4/

临时规避措施：

禁用URN，其配置参考如下：

acl URN proto URN

http_access deny URN

注：修复漏洞前请将资料备份，并进行充分测试。