ИИтог

Squidbleed: 29-летняя уязвимость в популярном proxy Squid утекала пароли

безопасностьРедакция ИИтогThe Register🔥60Рейтинг ИИтог · значимость 60
Squidbleed: 29-летняя уязвимость в популярном proxy Squid утекала пароли

В Squid, популярном open-source кэширующем proxy-сервере для корпораций, найдена серьёзная уязвимость ('Squidbleed', CVE-2026-47729). Баг существовал с 1997 года, когда был добавлен код для поддержки legacy NetWare-серверов. Уязвимость, это heap overread в FTP parser Squid. Когда proxy обрабатывает FTP-директорию от attacker-controlled сервера, он может быть скомпрометирован если: (1) proxy пропускает незашифрованный HTTP-трафик, (2) может достучаться до attacker-фта на порт 21. Дефект в парсинге строк: если FTP-сервер не возвращает filename после timestamp, цикл не останавливается, 'ходит' за пределы буфера, и xstrdup копирует всё, что следует, отправляя это attacker-у как filename. Это может утечь HTTP-запросы с паролями, API-ключами. Обнаружена Лам Джун Ронгом (Calif.io) с использованием AI-системы Anthropic Claude Mythos Preview. Patched в Squid v7.6 (8 июня 2026). Рекомендация: отключить FTP-поддержку в Squid, если не критична, так как браузеры давно не поддерживают FTP.

Ключевые факты

  • Уязвимость в парсере FTP: неправильная обработка отсутствия filename в FTP-ответе приводит к переполнению буфера
  • Утекают HTTP-запросы, пароли, API-ключи в plaintext; можно использовать для credential harvesting
  • Требует двух условий: proxy должен пропускать незашифрованный HTTP и достигать attacker-фта на 21-м порту
  • Датирована 1997 годом, почти 30 лет без обнаружения; найдена при помощи AI-анализа
  • Исправлена в v7.6 (июнь 2026); рекомендация выключить FTP-поддержку в legacy-окружении

Почему это важно

Squid, корпоративное решение, повсеместно используется в enterprise-сетях для кэширования и фильтрации. Уязвимость, просуществовавшая 29 лет, показывает, как legacy-код, добавленный для исчезающих протоколов (NetWare, FTP), может остаться незамеченным. Использование AI для поиска таких bagов, новый вектор security research.

Кому это важно

Администраторам Squid-proxy в корпоративных сетях, security-командам, разработчикам open-source. Специалистам по compliance (утечка HTTP-данных в логах, риск). Исследователям security и AI-ассистентам в поиске vulnerabilities.

Как это применить

Немедленное обновление до Squid v7.6+. Аудит логов Squid на предмет FTP-трафика и HTTP-responses с чувствительными данными. Отключение FTP-модуля в конфиге, если не используется. Пересмотр network-policies: запретить outbound на порт 21 с proxy. Рассмотрение AI-анализа legacy-кода на предмет похожих уязвимостей.

Можно ли доверять

The Register, авторитетный tech-security источник. CVE-2026-47729 проверяемая запись. Упоминание Claude Mythos Preview, реальное; использование AI для поиска security-issues, признанный подход.

Риски и подводные камни

Баг требует specific условия (attacker может управлять FTP, proxy доступен для FTP-запросов). В modern сетях с HTTPS и отключённым FTP риск ниже. Однако в legacy-корпоративных сетях уязвимость могла быть широко используемой для credential harvesting годами.

«The loop never stops. It walks off the end of the buffer, and xstrdup copies whatever follows back to the attacker as a filename.»

— Описание уязвимости Squidbleed