近日,安全研究公司Calif再度放出重磅披露:知名开源网页代理/网络快取软件Squid曝出一个存在已久的记忆体泄漏类漏洞,代号为Squidbleed,对应CVE-2026-47729。与此前同样因“心脏出血”式信息泄露而引发关注的案例类似,这次的问题也指向“内存内容可能被读出来”的风险,影响面不小。
Calif指出,Squid在默认配置或特定环境下可能导致堆积缓冲区发生越界读取(out-of-bounds read)。更直观地说,攻击者可能借助恶意构造的请求触发异常读取,从而让系统不该暴露的内部数据被泄漏。由于Squid常被用于承载HTTP访问代理/缓存,当漏洞被利用时,受影响的HTTP请求内容存在被窃取的可能,进而包括密码、API密钥等敏感信息。
该公司表示,这个漏洞并非“新鲜出炉”,而是早已潜伏多年,最长可追溯到近29年前。Calif称其使用先进AI模型来分析Squid内部结构,基于Anthropic Claude Mythos进行探索,最终定位到触发条件与代码路径,并在MADBugs相关公开资料中提供了利用思路的概念验证(PoC)代码,方便研究者验证与评估。
从成因来看,Squid在处理FTP相关目录列表(directory listing)时存在解析问题:某些FTP/NetWare场景会在字段间插入与预期不一致的空格数量。针对这些差异的字符串处理逻辑中,C语言的字符查找与终止符判断出现偏差,导致用于扫描字节的指针越过原本的边界范围,进而读取到后续内存内容。研究人员还给出缓解建议,例如在条件判断中增加额外的指针有效性检查,避免在字符串已到`�`结尾时继续调用关键函数。
修复方面,Calif称其报告与修正方案在今年4月中旬提出,随后陆续合入不同分支;到6月初发布的Squid 7.6版本已包含修复内容。多家发行版也已发布对应更新与受影响版本清单,包括SUSE、Amazon Linux、Debian等。值得注意的是,本漏洞在CVSS严重度评估上各方给出的分数并不一致:有机构给出接近最高的10分,也有评级相对保守,因此企业更应将其视为“高优先级修复”问题来处理。
如果你们的环境中运行了Squid(尤其是承担HTTP/FTP相关代理或缓存能力的节点),建议尽快核对版本并完成升级,或至少先按官方补丁策略进行加固,避免在不必要的暴露面上埋下隐患。
