检测

FreeBSD:squid -- TLS/SSL 解析器拒绝服务漏洞 (d3a98c2d-5da1-11e5-9909-002590263bf5)

high Nessus 插件 ID 85996

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Squid-3 系列的发布管理员 Amos Jeffries 报告:

有漏洞的版本为 3.5.0.1 到 3.5.8(含),这些版本使用 OpenSSL 构建并且针对“SSL-Bump”解密进行了配置。

在某些 CPU 架构上,整数溢出可导致从随机内存读取无效的指针计算。最好的结果是导致对客户端使用错误的 TLS 扩展,最坏的结果是造成代理崩溃,从而终止所有活动的事务。

不正确的消息大小检查和有关 SSL/TLS 握手消息中 TLS 扩展的存在性的假设可造成极高的 CPU 消耗(最高可达到且包括“无限循环”行为)。

上述行为可远程触发。尽管此项处理前应用了一层授权以检查是否允许客户端使用代理,但是这项检查通常较弱。已知 Windows XP 上的 MS Skype 可触发其中部分行为。

默认情况下,FreeBSD 端口不使用 SSL,且在默认配置下不容易受到影响。

解决方案

更新受影响的程序包。

另见

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=203186

http://www.squid-cache.org/Advisories/SQUID-2015_3.txt

https://www.openwall.com/lists/oss-security/2015/09/18/1

http://www.nessus.org/u?e22c51e1

插件详情

严重性: High

ID: 85996

文件名: freebsd_pkg_d3a98c2d5da111e59909002590263bf5.nasl

版本: 2.7

类型: local

发布时间: 2015/9/18

最近更新时间: 2021/1/6

支持的传感器: Nessus

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:squid, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2015/9/18

漏洞发布日期: 2015/9/18