- 27,737
- 46
- 8 Ноя 2022
Как ошибка 1997 года смогла дожить до 2026-го?
Ошибка в поддержке FTP, старого протокола передачи файлов между компьютерами, прожила в прокси-сервере Squid почти 29 лет и позволяла читать фрагменты памяти процесса. Уязвимость получила название Squidbleed и идентификатор CVE-2026-47729. Проблема затрагивает все версии Squid, выпущенные с 1997 года, включая серверы со стандартными настройками.
Атакующему нужен собственный FTP-сервер, доступный для целевого прокси по TCP-порту 21. Прокси-сервер служит промежуточным звеном между пользователем и сайтами: через Squid часто пропускают интернет-трафик в компаниях, школах и других общих сетях. При обработке специально подготовленного списка файлов Squid мог выйти за границы выделенной памяти и принять случайные данные за имя файла. Затем сервер возвращал найденный фрагмент злоумышленнику в странице со списком файлов.
В памяти могли остаться запросы других пользователей, проходившие через тот же прокси: пароли, ключи API и данные авторизации. Риск для большинства соединений снижается благодаря HTTPS. Squid обычно передаёт защищённый трафик в зашифрованном виде и не может прочитать содержимое запросов. Утечка остаётся опасной для незашифрованных HTTP-соединений и для сетей, где прокси расшифровывает защищённый трафик для проверки или фильтрации.
Ошибка возникала при разборе строк FTP-каталога без имени файла. Функция в коде Squid не останавливалась на конце строки и продолжала читать данные за пределами буфера. Технические детали и демонстрационный код опубликовали исследователи Calif.io .
Разработчики Squid уже исправили уязвимость в поддерживаемых ветках. Патч вошёл в релиз Squid 7.6 . Администраторам стоит обновить прокси и отключить FTP, если передача файлов через устаревший протокол не требуется.
Ошибка в поддержке FTP, старого протокола передачи файлов между компьютерами, прожила в прокси-сервере Squid почти 29 лет и позволяла читать фрагменты памяти процесса. Уязвимость получила название Squidbleed и идентификатор CVE-2026-47729. Проблема затрагивает все версии Squid, выпущенные с 1997 года, включая серверы со стандартными настройками.
Атакующему нужен собственный FTP-сервер, доступный для целевого прокси по TCP-порту 21. Прокси-сервер служит промежуточным звеном между пользователем и сайтами: через Squid часто пропускают интернет-трафик в компаниях, школах и других общих сетях. При обработке специально подготовленного списка файлов Squid мог выйти за границы выделенной памяти и принять случайные данные за имя файла. Затем сервер возвращал найденный фрагмент злоумышленнику в странице со списком файлов.
В памяти могли остаться запросы других пользователей, проходившие через тот же прокси: пароли, ключи API и данные авторизации. Риск для большинства соединений снижается благодаря HTTPS. Squid обычно передаёт защищённый трафик в зашифрованном виде и не может прочитать содержимое запросов. Утечка остаётся опасной для незашифрованных HTTP-соединений и для сетей, где прокси расшифровывает защищённый трафик для проверки или фильтрации.
Ошибка возникала при разборе строк FTP-каталога без имени файла. Функция в коде Squid не останавливалась на конце строки и продолжала читать данные за пределами буфера. Технические детали и демонстрационный код опубликовали исследователи Calif.io .
Разработчики Squid уже исправили уязвимость в поддерживаемых ветках. Патч вошёл в релиз Squid 7.6 . Администраторам стоит обновить прокси и отключить FTP, если передача файлов через устаревший протокол не требуется.
- Источник новости
- www.securitylab.ru
