1. 修復的CVE

CVE-2020-25097

Squid是一套代理服務器和Web緩存服務器軟件。該軟件提供緩存萬維網、過濾流量、代理上網等功能。Squid through 4.13 and 5.x through 5.0.4 存在輸入驗證錯誤漏洞，該漏洞源于不正確的輸入驗證，它允許受信任的客戶機執行HTTP請求走私，并訪問安全控制部門禁止的服務。

CVE-2020-15049

Squid是一套代理服務器和Web緩存服務器軟件。該軟件提供緩存萬維網、過濾流量、代理上網等功能。

Squid 4.12之前版本和5.0.3之前的5.x版本中的http/ContentLengthInterpreter.cc文件存在環境問題漏洞，該漏洞源于程序沒有正確驗證輸入。攻擊者可借助特制HTTP請求利用該漏洞造成Web緩存中毒，繞過Web應用程序防火墻保護或實施跨站腳本攻擊。

2. 受影響的操作系統及軟件包

·銀河麒麟桌面操作系統V10

x86_64 架構：

squid-cgi、squid-common、squid-purge、squid3、squid、squidclient

arm64 架構：

squid-cgi、squid-common、squid-purge、squid3、squid、squidclient

3. 軟件包修復版本

·銀河麒麟桌面操作系統V10

3.5.12-1kord7.16

4. 修復方法

方法一：配置源進行升級安裝

打開軟件包源配置文件，根據倉庫地址進行修改。

10.0:

http://archive.kylinos.cn/kylin/KYLIN-ALL 10.0 main restricted universe multiverse

配置完成后執行更新命令進行升級

$sudo apt update

$sudo apt install squid

方法二：下載軟件包進行升級安裝

通過軟件包地址下載軟件包，使用軟件包升級命令根據受影響的軟件包列表升級相關的組件包。

$sudo dpkg -i /Path1/Package1 /Path2/Package2 /Path3/Package3……

注：Path 指軟件包下載到本地的路徑，Package指下載的軟件包名稱，多個軟件包則以空格分開。

5. 軟件包下載地址

銀河麒麟桌面操作系統V10

x86_64軟件包下載地址

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/s/squid3/squid-cgi_3.5.12-1kord7.16_amd64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/s/squid3/squid-common_3.5.12-1kord7.16_all.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/s/squid3/squid-purge_3.5.12-1kord7.16_amd64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/s/squid3/squid3_3.5.12-1kord7.16_all.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/s/squid3/squid_3.5.12-1kord7.16_amd64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/s/squid3/squidclient_3.5.12-1kord7.16_amd64.deb

arm64軟件包下載地址

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/s/squid3/squid-cgi_3.5.12-1kord7.16_arm64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/s/squid3/squid-common_3.5.12-1kord7.16_all.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/s/squid3/squid-purge_3.5.12-1kord7.16_arm64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/s/squid3/squid3_3.5.12-1kord7.16_all.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/s/squid3/squid_3.5.12-1kord7.16_arm64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/s/squid3/squidclient_3.5.12-1kord7.16_arm64.deb

6. 修復驗證

使用軟件包查詢命令，查看相關的軟件包版本大于或等于修復版本則成功修復。

$sudo dpkg -l |grep Package

注：Package為軟件包包名。