Amazon Linux 2023：squid (ALAS2023-2023-429)

medium Nessus Plugin ID 185721

語系：

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此，會受到 ALAS2023-2023-429 公告中所提及的多個弱點影響。

- Squid 是一種用於 Web 的快取代理伺服器。由於指定索引驗證不當錯誤，使用「--with-openssl」編譯的 Squid 3.3.0.1 至 5.9 及 6.0 至 6.4 在進行 SSL 憑證驗證時容易遭受拒絕服務攻擊。此問題允許遠端伺服器透過在伺服器憑證鏈中使用特製 SSL 憑證起始 TLS 交握，對 Squid 代理伺服器造成拒絕服務。此攻擊僅限於 HTTPS 和 SSL-Bump。此錯誤已在 Squid 版本 6.4 中修正。此外，可在 Squid 的修補程式封存中找到可解決此問題的修補程式的穩定版本。使用預先封裝 Squid 版本的使用者應諮詢套件供應商，以取得更新套件的可用性資訊。(CVE-2023-46724)

- Squid 是一種用於 Web 的快取代理伺服器，支援 HTTP、HTTPS、FTP 等。由於 NULL 指標解除參照錯誤，Squid 的 Gopher 閘道容易遭受拒絕服務攻擊。在 Squid 6.0.1 之前的 Squid 中，gopher 通訊協定一律可用且已啟用。觸發此錯誤的回應可從任何 gopher 伺服器接收，即使是無惡意意圖的伺服器。已在 Squid 版 6.0.1 中移除 Gopher 支援。建議所有使用者進行升級。無法升級的使用者應拒絕所有 gopher URL 要求。(CVE-2023-46728)

- SQUID 容易受到區塊解碼器寬鬆所造成的 HTTP 要求走私問題影響，遠端攻擊者可藉此執行要求/回應走私超出防火牆和前端安全性系統。
(CVE-2023-46846)

- Squid 容易受到拒絕服務攻擊，遠端攻擊者可透過傳送 HTTP 要求訊息中的 ftp: // URL 或建構 FTP 原生輸入中的 ftp: // URL 來執行 DoS。(CVE-2023-46848)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。