FreeBSD：squid -- 多個弱點 (25e5205b-1447-11e6-9ead-6805ca0b3d42)

high Nessus Plugin ID 90980

語系：

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

squid 開發團隊報告：問題描述：由於遭攔截之 HTTP 要求訊息的不正確資料驗證，Squid 容易受到用戶端繞過針對 CVE-2009-0801 相關問題保護的問題影響。這會導致快取毒害。嚴重性：此問題很嚴重，因為它可允許任何用戶端 (包括瀏覽器指令碼) 繞過本機安全性，並使用來自任意來源的內容來毒害代理伺服器快取和任何下游快取。問題描述：由於不正確的輸入驗證，Squid 容易受到標頭走私攻擊影響，進而導致在 Squid 和某些用戶端瀏覽器中的快取毒害和繞過同源安全性原則。嚴重性：此問題可允許用戶端走私主機標頭值通過同源安全性保護，進而造成 Squid 當作攔截或反向代理伺服器聯絡錯誤的來源伺服器。還會毒害儲存回應的任何下游快取。不過，只有當快取代理程式 (瀏覽器或明確/轉送代理伺服器) 不遵守 RFC 7230 處理準則並讓走私的值通過時，才可能發生快取毒害。問題描述：由於不正確的指標處理和參照計數，當處理 ESI 回應時，Squid 容易受到拒絕服務攻擊影響。嚴重性：這些問題可讓傳送特定 ESI 回應語法的遠端伺服器針對存取 Squid 服務的所有用戶端，觸發拒絕服務。由於無關的變更，Squid-3.5 容易受某些一般 ESI 伺服器回應的影響，進而觸發這些問題中的其中一個或多個。