Webproxy Squid：严重安全漏洞泄露访问凭据

Squid代理软件中的一个安全漏洞可能导致攻击者获取访问凭据。开发者将该风险评为最高级别，并提供了修复该漏洞的更新版本。IT负责人应尽快安装此更新。

漏洞详情与影响

根据Squid程序员的错误描述：“由于HTTP认证数据缺少掩码处理，Squid容易受到信息泄露攻击。“该问题允许脚本绕过浏览器保护措施，获取客户端的访问凭据。网络中的客户端可能窃取安全令牌或Web应用程序内部使用的访问凭据，这些应用程序使用Squid进行负载均衡。开发者还指出，要滥用此漏洞，并不需要将Squid配置为使用HTTP认证。

修复方案与临时措施

开发者已在Squid 7.2版本中修复了这个潜在的数据泄露漏洞。该补丁也适用于稳定的开发版本。通过发行版软件包使用Squid的用户应在软件管理器中查找包含安全补丁的更新。

作为临时应对措施，开发者表示Squid管理员可以禁用Squid管理员邮件链接中的调试信息。这可以通过在squid.conf文件中设置email_err_data off来完成。服务在重启后会读取修改后的配置。

漏洞检测方法

要检查自己的实例是否易受攻击，可运行命令：squid -k parse 2>&1 | grep "email_err_data"。如果结果显示email_err_data off，则Squid实例不易受攻击。开发者解释说，所有包括7.1及以下版本且email_err_data设置为on的Squid版本都易受攻击，以及所有包括7.1及以下版本且没有email_err_data返回值的Squid版本也都易受攻击。

历史背景

2023年底，IT安全研究员Joshua Rogers报告了Web缓存Squid中的55个安全漏洞，当时至少还有35个未修复。程序员随后逐步修复了这些漏洞。