Squidbleed: Jahrzehnte alte Squid-Lücke kann Daten anderer Nutzer offenlegen

Zusammenfassung

Sicherheitsforscher von Calif.io haben mit „Squidbleed“ eine Speicherleck-Schwachstelle in Squid Proxy offengelegt, die laut ihren Angaben seit 1997 in der Software steckt. Squid ist ein weit verbreiteter Open-Source-Web-Proxy, der per Caching Bandbreite spart und Antwortzeiten verbessert und dabei unter anderem HTTP, HTTPS und FTP unterstützt. Die als CVE-2026-47729 geführte Lücke erinnert nach Einschätzung der Forscher an Heartbleed: Der FTP-Parser von Squid liest über die Grenzen eines Speicherpuffers hinaus und kann dadurch in einen Bereich geraten, in dem noch nicht bereinigte HTTP-Anfragedaten eines vorherigen Nutzers liegen. Besonders relevant ist das in gemeinsam genutzten Proxy-Umgebungen wie Unternehmensnetzen, Schulen oder öffentlichen WLAN-Hotspots, in denen mehrere Nutzer über dieselbe Squid-Instanz laufen. Entdeckt wurde die Schwachstelle laut Calif mit Unterstützung des KI-Modells Claude Mythos von Anthropic. Ein Patch wurde im April 2026 in Squid Version 8 übernommen und im Juni 2026 mit Version 7.6 ausgeliefert.

Nach Angaben von Calif.io beruht Squidbleed auf einem Fehler im FTP-Parser von Squid. Offiziell wird die Schwachstelle unter der Kennung CVE-2026-47729 geführt. Der Parser liest dabei über das Ende eines Speicherpuffers hinaus und kann so auf Speicherbereiche zugreifen, die noch Daten aus einer früheren HTTP-Anfrage enthalten.

Die Forscher vergleichen die Lücke mit Heartbleed, der bekannten OpenSSL-Schwachstelle, und haben ihr deshalb den Namen Squidbleed gegeben. Der betroffene Dienst ist Squid Proxy, ein weit verbreiteter Open-Source-Proxy, der Caching nutzt, um Bandbreite zu sparen und Antwortzeiten zu verkürzen. Unterstützt werden unter anderem HTTP, HTTPS und FTP.

Für eine Ausnutzung muss ein Angreifer laut Calif einen FTP-Server kontrollieren, den der Proxy erreichen kann. Das größte Risiko sehen die Forscher in gemeinsam genutzten Proxy-Umgebungen, etwa in Unternehmensnetzwerken, Schulen und öffentlichen WLAN-Hotspots, in denen mehrere Nutzer denselben Squid-Proxy verwenden.

Wer Zugang zu einem solchen Netzwerk hat, könnte nach Darstellung von Calif unbemerkt HTTP-Anfragedaten anderer Nutzer abschöpfen. Genannt werden dabei insbesondere Authentifizierungsdaten, Sitzungs-Token und API-Schlüssel, sofern diese in den betroffenen Anfragen enthalten sind.

Die Offenlegung ist jedoch auf bestimmte Konfigurationen begrenzt. Betroffen ist Klartext-HTTP-Verkehr sowie Installationen, in denen Squid die TLS-Terminierung übernimmt. Normale HTTPS-Verbindungen, die lediglich als undurchsichtige Connect-Tunnel weitergereicht werden, sind nicht betroffen. Calif weist aber darauf hin, dass sensible Zugangsdaten in vielen Unternehmens- und Altumgebungen weiterhin über unverschlüsseltes HTTP übertragen werden können.

Entdeckt wurde die Schwachstelle laut dem Bericht mit Unterstützung von Anthropic’s KI-Modell Claude Mythos. Calif hatte nach eigenen Angaben auch eine schwerwiegende Schwachstelle in OpenSSL sowie die Denial-of-Service-Technik HTTP/2 Bomb gefunden; beide Entdeckungen seien ebenfalls mithilfe von KI erfolgt.

Ein Patch für Squidbleed wurde im April 2026 in Squid Version 8 übernommen. Ausgeliefert wurde die Korrektur im Juni 2026 mit Version 7.6. Als weitere Gegenmaßnahme nennen die Forscher, die FTP-Unterstützung vollständig zu deaktivieren, falls sie nicht benötigt wird.

Squidbleed: Jahrzehnte alte Squid-Lücke kann Daten anderer Nutzer offenlegen

Ähnliche Artikel

Neueste Artikel