低危 Squid HTTP proxy信息泄露漏洞（CNVD-2016-13116）

CVE编号

CVE-2016-10003

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-01-28

漏洞描述

Squid（全称Squid Cache）是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。 Squid HTTP代理存在信息泄露漏洞。攻击者可利用漏洞获取敏感信息。

解决建议

用户可联系供应商获得补丁信息：http://www.squid-cache.org/Advisories/SQUID-2016_10.txt

参考链接
http://www.openwall.com/lists/oss-security/2016/12/18/1
http://www.securityfocus.com/bid/94953
http://www.securitytracker.com/id/1037512
http://www.squid-cache.org/Advisories/SQUID-2016_10.txt

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	squid-cache	squid	3.5.0.1	-
	运行在以下环境
	应用	squid-cache	squid	3.5.0.2	-
	运行在以下环境
	应用	squid-cache	squid	3.5.0.3	-
	运行在以下环境
	应用	squid-cache	squid	3.5.0.4	-
	运行在以下环境
	应用	squid-cache	squid	3.5.1	-
	运行在以下环境
	应用	squid-cache	squid	3.5.10	-
	运行在以下环境
	应用	squid-cache	squid	3.5.11	-
	运行在以下环境
	应用	squid-cache	squid	3.5.12	-
	运行在以下环境
	应用	squid-cache	squid	3.5.13	-
	运行在以下环境
	应用	squid-cache	squid	3.5.14	-
	运行在以下环境
	应用	squid-cache	squid	3.5.15	-
	运行在以下环境
	应用	squid-cache	squid	3.5.16	-
	运行在以下环境
	应用	squid-cache	squid	3.5.17	-
	运行在以下环境
	应用	squid-cache	squid	3.5.18	-
	运行在以下环境
	应用	squid-cache	squid	3.5.19	-
	运行在以下环境
	应用	squid-cache	squid	3.5.2	-
	运行在以下环境
	应用	squid-cache	squid	3.5.20	-
	运行在以下环境
	应用	squid-cache	squid	3.5.21	-
	运行在以下环境
	应用	squid-cache	squid	3.5.22	-
	运行在以下环境
	应用	squid-cache	squid	3.5.3	-
	运行在以下环境
	应用	squid-cache	squid	3.5.4	-
	运行在以下环境
	应用	squid-cache	squid	3.5.5	-
	运行在以下环境
	应用	squid-cache	squid	3.5.6	-
	运行在以下环境
	应用	squid-cache	squid	3.5.7	-
	运行在以下环境
	应用	squid-cache	squid	3.5.8	-
	运行在以下环境
	应用	squid-cache	squid	3.5.9	-
	运行在以下环境
	应用	squid-cache	squid	4.0.1	-
	运行在以下环境
	应用	squid-cache	squid	4.0.10	-
	运行在以下环境
	应用	squid-cache	squid	4.0.11	-
	运行在以下环境
	应用	squid-cache	squid	4.0.12	-
	运行在以下环境
	应用	squid-cache	squid	4.0.13	-
	运行在以下环境
应用	squid-cache	squid	4.0.14	-
运行在以下环境
应用	squid-cache	squid	4.0.15	-
运行在以下环境
应用	squid-cache	squid	4.0.16	-
运行在以下环境
应用	squid-cache	squid	4.0.2	-
运行在以下环境
应用	squid-cache	squid	4.0.3	-
运行在以下环境
应用	squid-cache	squid	4.0.4	-
运行在以下环境
应用	squid-cache	squid	4.0.5	-
运行在以下环境
应用	squid-cache	squid	4.0.6	-
运行在以下环境
应用	squid-cache	squid	4.0.7	-
运行在以下环境
应用	squid-cache	squid	4.0.8	-
运行在以下环境
应用	squid-cache	squid	4.0.9	-
运行在以下环境
系统	alpine_3.2	squid	*		Up to (excluding) 3.5.23-r0
运行在以下环境
系统	alpine_3.3	squid	*		Up to (excluding) 3.5.23-r0
运行在以下环境
系统	amazon_2	squid	*		Up to (excluding) 3.5.20-17.amzn2.7.6
运行在以下环境
系统	amazon_AMI	squid	*		Up to (excluding) 3.5.20-17.48.amzn1
运行在以下环境
系统	debian	DPKG	*		Up to (excluding) 3.5.23-1
运行在以下环境
系统	fedora_24	squid-debuginfo	*		Up to (excluding) 3.5.23-1.fc24
运行在以下环境
系统	fedora_25	squid-debuginfo	*		Up to (excluding) 4.0.17-1.fc25
运行在以下环境
系统	opensuse_Leap_42.2	squid	*		Up to (excluding) 3.5.21-3.1
运行在以下环境
系统	opensuse_Leap_42.3	bouncycastle	*		Up to (excluding) 1.59-23.3.1
运行在以下环境
系统	suse_12	squid	*		Up to (excluding) 3.5.21-25
运行在以下环境
系统	suse_12_SP2	squid	*		Up to (excluding) 3.5.21-25.1
运行在以下环境
系统	ubuntu_12.04.5_lts	squid3	*		Up to (excluding) 3.1.19-1ubuntu3.12.04.7
运行在以下环境
系统	ubuntu_14.04.6_lts	squid3	*		Up to (excluding) 3.3.8-1ubuntu6.8
运行在以下环境
系统	ubuntu_16.04	squid3	*		Up to (excluding) 3.5.12-1ubuntu7.3
运行在以下环境
系统	ubuntu_16.04.7_lts	squid3	*		Up to (excluding) 3.5.12-1ubuntu7.3
运行在以下环境
系统	ubuntu_18.04.5_lts	bouncycastle	*		Up to (excluding) 1.59-1
运行在以下环境
系统	ubuntu_18.10	bouncycastle	*		Up to (excluding) 1.60-1

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-200	信息暴露

Exp相关链接

- avd.aliyun.com