Squidbleed: 29 aastat märkamatuks jäänud turvanõrkus Squidi puhverserveris

Turvauurija Lam Jun Rong ettevõttest Calif.io avastas koos tehisintellekti (AI) tööriistaga Mythos Preview Heartbleedi-laadse turvanõrkuse populaarses avatud lähtekoodiga puhverserveris Squid. Viga, mis sai nimeks Squidbleed (CVE-2026-47729), oli koodis peidus 29 aastat ja lekitas vaikselt kasutajate HTTP-päringuid avatekstina, paljastades potentsiaalselt tundlikke andmeid, sealhulgas sisselogimisandmeid ja seansitõendeid.

Squidi kasutavad laialdaselt suurettevõtted, koolid ja internetiteenuse pakkujad võrguliikluse vahemällu salvestamiseks ja filtreerimiseks. Rong avastas vea, kui üritas lennukis internetti ühenduda — pardal kasutatud Squidi versioon oli ligi kümme aastat vana. Viga ilmneb vaikekonfiguratsioonis, kui Squid töötleb krüptimata HTTP-liiklust ja saab ühenduda ründaja FTP-serveriga TCP-pordi 21 kaudu.

Probleem peitub Squidi FTP-kataloogi parseris. 1997. aastal lisatud kood (commit bb97dd37a) pidi toetama vananenud NetWare’i servereid, jättes vahele lisatühikud. Kui ründaja FTP-server ei anna failinime, jätkab tsükkel lugemist üle mälupiiri, lekitades sisemist mälu. Viga parandati Squidi versioonis 7.6, mis ilmus 8. juunil. Rong teatas veast hooldajatele juba aprillis.

Loe täispikka artiklit: The Register

Lisa kommentaar