公開日:2005/02/09 最終更新日:2005/04/25

JVNVU#625878
Squid において HTTPレスポンス分割によるキャッシュ汚染の可能性

概要




Squid の HTTP プロトコルハンドラに存在する脆弱性のため、キャッシュ汚染を受ける可能性があります。


影響を受けるシステム

  • Squid 2.5.STABLE8-RC4 未満

詳細情報

想定される影響

遠隔から第三者により Squid のキャッシュに不正な情報をつくられる可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
リコー 該当製品無し 2005/04/25
日本電気 該当製品無し 2005/03/31

参考情報

  1. Squid-2.5 Patches
    Strengthen Squid from HTTP response splitting cache pollution attack
  2. Bugzilla Bug 1200
    HTTP Response Splitting attack
  3. US-CERT Vulnerability Note VU#625878
    Squid may be susceptable to cache pollution via HTTP reponse splittin

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CAN-2005-0175
VU#625878
JVN iPedia