Squidに脆弱性が存在 - JPCERT/CC

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は3月6日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVN#64455813: Squid における入力値検証の不備に関する脆弱性」をアップデートした。今回、脆弱性に関する詳細な情報、影響を受けるシステム、想定される影響などに関する情報が更新された。

Squidには、入力値検証の不備に関する脆弱性を抱えるバージョンがあるという。脆弱性の影響を受けるバージョンは次のとおり。

Squid 3.1.1-STABLE よりも前のバージョン

この脆弱性を悪用されると、クライアントがHTTPレスポンス分割攻撃を受けるおそれがあるとされている。開発者によると、対象の脆弱性は Squid 3.1.0.10-beta で修正されており、Squid バージョン 3.1系の Stable リリース以降は影響を受けないという。そのため、脆弱性を持つバージョンを利用している場合は、アップデートすることが望まれる。