FreeBSD:squid -- 用戶端優先的 SSL 提升並未正確驗證 X509 伺服器憑證 (b6da24da-23f7-11e5-a4a5-002590263bf5)
low Nessus Plugin ID 84555
語系:
概要
遠端 FreeBSD 主機缺少一個或多個安全性相關更新。說明
Squid 安全性公告 2015:1 報告:以用戶端優先 SSL 提升設定的 Squid 並未正確驗證 X509 伺服器憑證網域/主機名稱欄位。
此錯誤相當重要,因為其會讓遠端伺服器繞過用戶端的憑證驗證。部分攻擊者可使用某個網域的有效憑證 (且已由全域憑證授權單位簽署) 來濫用不相關的網域。
然而,只要在您將 Squid 設為使用「用戶端優先」或「提升」作業模式來執行 SSL 提升後,此錯誤才會遭到惡意利用。
不使用 SSL 提升的網站不會遭到惡意利用。
沒有 SSL 支援的所有 Squid 版本皆不會受到此問題的影響。
FreeBSD 連接埠預設不使用 SSL,而且在預設組態中沒有弱點。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 84555
檔案名稱: freebsd_pkg_b6da24da23f711e5a4a5002590263bf5.nasl
版本: 2.5
類型: local
已發布: 2015/7/7
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Low
基本分數: 2.6
媒介: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N
弱點資訊
CPE: p-cpe:/a:freebsd:freebsd:squid, p-cpe:/a:freebsd:freebsd:squid32, p-cpe:/a:freebsd:freebsd:squid33, cpe:/o:freebsd:freebsd
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2015/7/6
弱點發布日期: 2015/5/1
參考資訊
CVE: CVE-2015-3455