Linux Distros 未修補弱點:CVE-2019-12520
high Nessus Plugin ID 222591
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。- 在 Squid 4.7 以及之前的所有版本和第 5 版中發現一個問題。Squid 會在接收要求時檢查其快取,以確認是否可以提供回應。它透過對要求的絕對 URL 進行 MD5 雜湊來實現這一點。
如果找到,則爲要求提供服務。絕對 URL 可包含針對特定通訊協定解碼後的 UserInfo (使用者名稱和密碼),此解碼後的資訊會附加在網域之前。攻擊者可藉此提供具有特殊字元的使用者名稱來分隔網域,並將 URL 的其餘部分視為路徑或查詢字串。攻擊者可先使用編碼的使用者名稱向其網域提出要求,然後當解碼為確切 URL 的目標網域要求傳入時,程式會提供攻擊者的 HTML,而非真正的 HTML。若 Squid 伺服器也充當反向 Proxy,這會允許攻擊者存取只有反向 Proxy 可以使用的功能,例如 ESI。(CVE-2019-12520)
請注意,Nessus 依賴供應商報告的套件存在。
解決方案
目前尚未有已知的解決方案。Plugin 詳細資訊
嚴重性: High
ID: 222591
檔案名稱: unpatched_CVE_2019_12520.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/3/4
已更新: 2025/3/4
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 5
時間性分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2019-12520
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched
可輕鬆利用: No known exploits are available
弱點發布日期: 2020/4/15
參考資訊
CVE: CVE-2019-12520