FreeBSD:squid -- 用戶端優先的 SSL 提升並未正確驗證 X509 伺服器憑證 (b6da24da-23f7-11e5-a4a5-002590263bf5)

low Nessus Plugin ID 84555
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

描述

Squid 安全性公告 2015:1 報告:

以用戶端優先 SSL 提升設定的 Squid 並未正確驗證 X509 伺服器憑證網域/主機名稱欄位。

此錯誤相當重要,因為其會讓遠端伺服器繞過用戶端的憑證驗證。部分攻擊者可使用某個網域的有效憑證 (且已由全域憑證授權單位簽署) 來濫用不相關的網域。

然而,只要在您將 Squid 設為使用「用戶端優先」或「提升」作業模式來執行 SSL 提升後,此錯誤才會遭到惡意利用。

不使用 SSL 提升的網站不會遭到惡意利用。

沒有 SSL 支援的所有 Squid 版本皆不會受到此問題的影響。

FreeBSD 連接埠預設不使用 SSL,而且在預設組態中沒有弱點。

解決方案

更新受影響的套件。

另請參閱

http://www.squid-cache.org/Advisories/SQUID-2015_1.txt

http://www.nessus.org/u?bd26f4c0

Plugin 詳細資訊

嚴重性: Low

ID: 84555

檔案名稱: freebsd_pkg_b6da24da23f711e5a4a5002590263bf5.nasl

版本: 2.5

類型: local

已發布: 2015/7/7

已更新: 2021/1/6

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Low

基本分數: 2.6

媒介: AV:N/AC:H/Au:N/C:N/I:P/A:N

弱點資訊

CPE: p-cpe:/a:freebsd:freebsd:squid, p-cpe:/a:freebsd:freebsd:squid32, p-cpe:/a:freebsd:freebsd:squid33, cpe:/o:freebsd:freebsd

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

修補程式發佈日期: 2015/7/6

弱點發布日期: 2015/5/1

參考資訊

CVE: CVE-2015-3455