漏洞概要
关注数(24)
关注此漏洞
漏洞标题:新浪漏洞系列第四弹-squid ACL配置不严格导致信息泄露漏洞
相关厂商:新浪
提交时间:2013-04-11 16:36
修复时间:2013-05-26 16:36
公开时间:2013-05-26 16:36
漏洞类型:系统/服务运维配置不当
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-04-11: 细节已通知厂商并且等待厂商处理中
2013-04-12: 厂商已经确认,细节仅向厂商公开
2013-04-22: 细节向核心白帽子及相关领域专家公开
2013-05-02: 细节向普通白帽子公开
2013-05-12: 细节向实习白帽子公开
2013-05-26: 细节向公众公开
简要描述:
新浪漏洞系列第四弹-squid ACL配置不严格导致信息泄露漏洞
让我等运维菜鸟学习学习squid的命中率和缓存策略到底如何
Request Hit Ratios: 5min: 34.5%, 60min: 41.0%
Byte Hit Ratios: 5min: 30.6%, 60min: 54.9%
Request Memory Hit Ratios: 5min: 65.4%, 60min: 43.7%
Request Disk Hit Ratios: 5min: 31.5%, 60min: 54.1%
证明IO是不是有瓶颈神马的呢,还是object设置的太小命中不了呢?命中率有待提高。
我胡说的,希望专业新浪运维搞基工程师来解释。
详细说明:
新浪漏洞系列第四弹-squid ACL配置不严格导致信息泄露漏洞
让我等运维菜鸟学习学习squid的命中率和缓存策略到底如何
Request Hit Ratios: 5min: 34.5%, 60min: 41.0%
Byte Hit Ratios: 5min: 30.6%, 60min: 54.9%
Request Memory Hit Ratios: 5min: 65.4%, 60min: 43.7%
Request Disk Hit Ratios: 5min: 31.5%, 60min: 54.1%
证明IO是不是有瓶颈神马的呢,还是object设置的太小命中不了呢?命中率有待提高。
我胡说的,希望专业新浪运维搞基工程师来解释。
漏洞证明:
新浪漏洞系列第四弹-squid ACL配置不严格导致信息泄露漏洞
让我等运维菜鸟学习学习squid的命中率和缓存策略到底如何
Request Hit Ratios: 5min: 34.5%, 60min: 41.0%
Byte Hit Ratios: 5min: 30.6%, 60min: 54.9%
Request Memory Hit Ratios: 5min: 65.4%, 60min: 43.7%
Request Disk Hit Ratios: 5min: 31.5%, 60min: 54.1%
证明IO是不是有瓶颈神马的呢,还是object设置的太小命中不了呢?命中率有待提高。
我胡说的,希望专业新浪运维搞基工程师来解释。
漏洞证明:
同样有问题的包括
squidclient -h 123.125.104.38 -p 8080 mgr:info
squidclient -h 123.125.104.39 -p 8080 mgr:info
还是自查吧,这个段比较多
修复方案:
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2013-04-12 15:43
厂商回复:
感谢提供,已经在处理了。
最新状态:
暂无