プロキシサーバ「Squid」に深刻な脆弱性 - DoS攻撃やキャッシュ汚染のおそれ
オープンソースのプロキシサーバ「Squid」に深刻な脆弱性3件が明らかとなった。アップデートが提供されている。
サービス拒否やキャッシュ汚染など3件の脆弱性が明らかとなったもの。いずれも共通脆弱性評価システム「CVSSv3」のベーススコアは「9」以上と高く、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
「CVE-2020-24606」は、細工したメッセージによりCPUリソースを浪費させ、サービス拒否を引き起こすことが可能となる脆弱性。「cache_peer」ディレクティブを設定している場合に影響を受ける。「CVSSv3.1」のベーススコアは「9.5」と今回判明した脆弱性のなかでもっとも高い。
「HTTPリクエストスマグリング攻撃」を受けるおそれがある「CVE-2020-15810」や、「HTTPリクエスト分割攻撃が可能となる「CVE-2020-15811」など、キャッシュポイズニングが生じるおそれがある脆弱性2件も判明。「CVSSv3.1」のベーススコアは、ともに「9.3」とされている。
開発チームは、脆弱性を修正した「同4.13」「同5.0.4」をリリース。パッチの提供や緩和策をアナウンスしており、利用者へ対応を呼びかけている。
(Security NEXT - 2020/08/28 )
ツイート
関連リンク
PR
関連記事
「XenServer」「Citrix Hypervisor」に脆弱性 - 情報流出やDoS攻撃のおそれ
「PAN-OS」に対するゼロデイ攻撃、国内被害は未確認
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開
Palo Alto Networksの「PAN-OS」にゼロデイ脆弱性 - パッチを準備中
Fortinet、アドバイザリ13件を公開 - 複数製品の脆弱性を修正
「Rust」によるWindowsバッチ処理に脆弱性 - アップデートが公開
Juniper Networks、セキュリティアドバイザリ36件を公開 - 「クリティカル」も
「PAN-OS」に関する脆弱性7件を修正 - Palo Alto Networks
「OpenSSL」にサービス拒否の脆弱性 - 次期更新で修正予定
「Node.js」にコマンドインジェクションの脆弱性 - Windows環境に影響