Squid — это прокси-сервер кэширования для Интернета. До версии 7.5 из-за преждевременного освобождения ресурса в течение ожидаемого срока службы и кучи ошибок Use-After-Free Squid был уязвим к отказу в обслуживании при обработке ICP-трафика. Эта проблема позволяет удаленному злоумышленнику выполнить надежную и повторяемую атаку типа «отказ в обслуживании» против службы Squid с использованием протокола ICP.
Эта атака ограничена развертываниями Squid, которые явно включают поддержку ICP (т. е. настраивают ненулевой `icp_port`). Эту проблему _не_ можно решить, запрещая запросы ICP с использованием правил icp_access. Эта ошибка исправлена в Squid версии 7.5.
Показать оригинальное описание (EN)
Squid is a caching proxy for the Web. Prior to version 7.5, due to premature release of resource during expected lifetime and heap Use-After-Free bugs, Squid is vulnerable to Denial of Service when handling ICP traffic. This problem allows a remote attacker to perform a reliable and repeatable Denial of Service attack against the Squid service using ICP protocol. This attack is limited to Squid deployments that explicitly enable ICP support (i.e. configure non-zero `icp_port`). This problem _cannot_ be mitigated by denying ICP queries using `icp_access` rules. This bug is fixed in Squid version 7.5.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Squid-Cache Squid
cpe:2.3:a:squid-cache:squid:*:*:*:*:*:*:*:*
|
— |
7.5
|