CVE-2019-18677

Опубликовано: 05 нояб. 2019

Источник: redhat

CVSS3: 7.4

EPSS Низкий

Описание

An issue was discovered in Squid 3.x and 4.x through 4.8 when the append_domain setting is used (because the appended characters do not properly interact with hostname length restrictions). Due to incorrect message processing, it can inappropriately redirect traffic to origins it should not be delivered to.

Меры по смягчению последствий

As per upstream: Remove append_domain configuration settings from squid.conf. The append_domain feature is redundant when /etc/resolv.conf is used to determine hostnames. However, please note that use of /etc/resolv.conf may require removal of dns_nameservers and other redundant DNS directives.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 5	squid	Out of support scope
Red Hat Enterprise Linux 6	squid	Out of support scope
Red Hat Enterprise Linux 6	squid34	Out of support scope
Red Hat Enterprise Linux 7	squid	Will not fix
Red Hat Enterprise Linux 8	squid	Fixed	RHSA-2020:4743	04.11.2020

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-79

https://bugzilla.redhat.com/show_bug.cgi?id=1770365squid: Cross-Site Request Forgery issue in HTTP Request processing

EPSS

Процентиль: 89%

0.04678

Низкий

7.4 High

CVSS3

Связанные уязвимости

CVE-2019-18677

CVSS3: 6.1

ubuntu

больше 5 лет назад

CVE-2019-18677

CVSS3: 6.1

nvd

больше 5 лет назад

CVE-2019-18677

CVSS3: 6.1

debian

больше 5 лет назад

An issue was discovered in Squid 3.x and 4.x through 4.8 when the appe ...

GHSA-mm65-p7g9-c5hr

CVSS3: 6.1

github

около 3 лет назад

BDU:2020-01858

CVSS3: 6.1

fstec

больше 5 лет назад

Уязвимость параметра append_domain прокси-сервера Squid, связанная с подделкой межсайтовых запросов, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

EPSS

Процентиль: 89%

0.04678

Низкий

7.4 High

CVSS3