プロキシサーバ「Squid」に深刻な脆弱性 - DoS攻撃やキャッシュ汚染のおそれ

オープンソースのプロキシサーバ「Squid」に深刻な脆弱性3件が明らかとなった。アップデートが提供されている。

サービス拒否やキャッシュ汚染など3件の脆弱性が明らかとなったもの。いずれも共通脆弱性評価システム「CVSSv3」のベーススコアは「9」以上と高く、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

「CVE-2020-24606」は、細工したメッセージによりCPUリソースを浪費させ、サービス拒否を引き起こすことが可能となる脆弱性。「cache_peer」ディレクティブを設定している場合に影響を受ける。「CVSSv3.1」のベーススコアは「9.5」と今回判明した脆弱性のなかでもっとも高い。

「HTTPリクエストスマグリング攻撃」を受けるおそれがある「CVE-2020-15810」や、「HTTPリクエスト分割攻撃が可能となる「CVE-2020-15811」など、キャッシュポイズニングが生じるおそれがある脆弱性2件も判明。「CVSSv3.1」のベーススコアは、ともに「9.3」とされている。

開発チームは、脆弱性を修正した「同4.13」「同5.0.4」をリリース。パッチの提供や緩和策をアナウンスしており、利用者へ対応を呼びかけている。

（Security NEXT - 2020/08/28 ） ツイート

PR

関連記事

「Firefox 146」がリリース - 権限昇格やUAFなど脆弱性13件を解消
複数Fortinet製品に認証回避の深刻な脆弱性 - 影響確認と対策を
MS、2025年最後の月例パッチ - ゼロデイ含む脆弱性56件に対処
「Array AG」狙う攻撃、関連する複数IPアドレスを公開 - IPA
Ruby向けSAML認証ライブラリに深刻な脆弱性 - 最新版へ更新を
「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害
米当局、「ArrayOS AG」脆弱性など2件を悪用リストに追加
Synology製NASに複数脆弱性 - 情報漏洩やDoSのおそれ
「Avast Antivirus」macOS版に脆弱性 - RCEやDoSのおそれ
「MS Edge」にアップデート - 脆弱性14件を解消