Squid项目发布紧急安全通告,披露了影响Squid处理统一资源名称(URN)响应的堆缓冲区溢出漏洞CVE-2025-54574(CVSS评分9.3)。
通告指出:“由于缓冲区管理不当,Squid在处理URN时存在堆缓冲区溢出漏洞,可能导致远程代码执行攻击。”
该高危漏洞存在于Squid对URN的处理机制中。具体来说,当Squid接收到包含URN的Trivial-HTTP响应时,内存分配处理不当,导致堆缓冲区溢出。这不仅为攻击者远程注入恶意代码提供了途径,还可能导致Squid无意中向客户端泄露多达4KB的堆内存。
通告警告称:“泄露的内存可能包含安全凭证或其他机密数据。”
此类漏洞在企业和服务提供商环境中尤其危险,Squid广泛用于缓存和过滤HTTP、HTTPS及FTP流量。
堆缓冲区溢出是现代软件中最易被利用的漏洞之一,影响极为严重。除了远程代码执行的可能外,此漏洞还会引发信息泄露,可能暴露认证凭据、会话令牌或私有配置信息。
鉴于Squid在关键基础设施中的广泛应用——包括企业代理服务器和政府内容过滤系统——CVE-2025-54574带来了极大的安全风险。
受影响的Squid版本包括:
-
Squid 4.x:所有版本直至4.17(含)
-
Squid 5.x:所有版本直至5.9(含)
-
Squid 6.x:所有版本直至6.3(含)
通告还指出:“4.14之前的版本未经过测试,应假定存在漏洞。”
该漏洞已在Squid 6.4版本中完全修复,早期分支的补丁也已通过Squid项目的GitHub仓库发布。
Squid团队强烈建议尽快升级至最新版本。但若无法立即更新,管理员可通过以下临时措施缓解风险:
在Squid配置文件中添加ACL规则:
该规则禁止Squid接受基于URN的请求,从而阻断受影响的代码路径。
发表评论
您还未登录,请先登录。
登录