Squidbleed: 29 Jahre alte Squid-Lücke betrifft Proxy-Software

Squid ist von einer neu dokumentierten Sicherheitslücke betroffen, die Forschende unter dem Namen Squidbleed veröffentlichen. Die Schwachstelle wird als CVE-2026-47729 geführt und betrifft den FTP-Gateway der Proxy-Software. Laut der Analyse von Calif steckt der Fehler seit 1997 im Code und kann Speicherinhalte sowie HTTP-Anfragedaten offenlegen. Die Squid-Maintainer haben den Fehler bestätigt und verweisen auf Fixes in Squid 7.6.

Für Administratoren ist der Fall besonders relevant, weil Squid in vielen Software-Infrastrukturen als Web-Proxy, Cache, Forward-Proxy oder Serverbeschleuniger läuft. Betroffen sein können Unternehmen, Hochschulen, Behörden, Rechenzentren und kleinere Serverumgebungen im DACH-Raum. Die Lücke ist kein normaler Browser-Bug, sondern betrifft eine Komponente, die oft tief im Netzwerkverkehr sitzt.

Squidbleed kann Speicher aus Proxy-Prozessen offenlegen

CVE-2026-47729 ist technisch ein Out-of-bounds-Read. Squid liest dabei unter bestimmten Bedingungen Speicher außerhalb des vorgesehenen Puffers. Laut der Forschungsbeschreibung kann ein Angreifer dadurch Rohdaten aus dem Heap-Speicher des Proxy-Prozesses erhalten. Dazu können HTTP-Header, Cookies, Authorization-Header, Session-Tokens oder andere Anfragedaten gehören.

Der Angriff hängt am FTP-Gateway von Squid. Die Maintainer beschreiben das Szenario so: Ein vertrauenswürdiger Client greift über Squid auf einen fehlerhaft oder bösartig reagierenden FTP-Server zu. Squid kann dann Daten aus zufälligen, nicht zusammengehörigen Transaktionen lesen. Genau dieser Punkt macht die Lücke für Mehrnutzer-Umgebungen brisant. Ein Proxy verarbeitet oft Verkehr vieler Nutzer oder Dienste im selben Prozesskontext.

Der Name Squidbleed ist bewusst an Heartbleed angelehnt. Der Vergleich ist nicht technisch identisch, aber journalistisch verständlich: In beiden Fällen geht es nicht primär um Codeausführung, sondern um das Offenlegen von Speicherinhalten. Bei Squidbleed ist vor allem die Kombination aus hohem Alter, verbreiteter Proxy-Software und möglichen Anfragedaten im Speicher entscheidend.

PunktStandWarum es wichtig ist
CVECVE-2026-47729ermöglicht eindeutiges Tracking in Scannern und Patchsystemen
SchwachstellentypOut-of-bounds-Read im Heapkann Speicherinhalte offenlegen
Betroffene KomponenteSquid FTP-Gatewaybetrifft Proxy-Funktionen und nicht nur eine Weboberfläche
Laut Forschung betroffenSquid-Versionen seit 1997 in Standardkonfigurationsehr breite historische Angriffsfläche möglich
FixSquid 7.6Admins sollten Paketstände prüfen
Mögliche DatenHTTP-Header, Cookies, Tokens und Anfragedatenbesonders kritisch in gemeinsam genutzten Proxys
Zweite Squid-LückeCVE-2026-50012 im Cache-Digest-Codesollte beim Patchen mitbeachtet werden

Admins sollten Squid 7.6 und Distributionspakete prüfen

Die wichtigste Maßnahme ist ein Update auf eine abgesicherte Squid-Version oder auf ein korrigiertes Distributionspaket. Die Maintainer nennen Squid 7.6 als Release mit Fixes für CVE-2026-47729 und CVE-2026-50012. In Linux-Distributionen muss die Versionsnummer aber nicht zwingend identisch aussehen. Debian, Ubuntu, SUSE und andere Anbieter backporten Sicherheitskorrekturen häufig in ältere Paketstände.

Administratoren sollten deshalb nicht nur auf die Upstream-Version schauen. Entscheidend ist der Status im eigenen Paketkanal. Debian führt CVE-2026-47729 bereits im Security Tracker. Ubuntu beschreibt die Lücke in Sicherheitsinformationen zu Squid und nennt als mögliche Folgen einen Absturz oder das Auslesen sensibler Informationen. In produktiven Umgebungen sollten Paketquellen, Security-Repositories und Container-Basisimages geprüft werden.

Besonders wichtig ist die Suche nach Squid-Instanzen, die nicht direkt auffallen. Dazu gehören alte Proxy-VMs, Container-Images, Campus-Proxys, transparente Caches, Appliances, Entwicklungsumgebungen und Reverse-Proxy-Installationen mit historischen Konfigurationsdateien. Squid läuft häufig stabil über Jahre. Genau das erhöht das Risiko, dass alte Installationen erst spät in Patchprozesse einfließen.

Der zweite Punkt ist die Konfiguration. Wer den FTP-Gateway nicht benötigt, sollte dessen Nutzung prüfen und soweit möglich einschränken. Zusätzlich sollten Admins Logs auf ungewöhnliche FTP-Zugriffe, fehlerhafte Directory-Listings und verdächtige Proxy-Anfragen untersuchen. Der Fix bleibt die zentrale Gegenmaßnahme. Konfigurationshärtung kann aber helfen, unnötige Angriffsflächen zu reduzieren.

CVE-2026-50012 sollte beim Patchen nicht übersehen werden. Die zweite Schwachstelle betrifft Cache-Digests und wird von den Squid-Maintainern als Heap-based Buffer Overflow beschrieben. Sie ist nach Maintainerangaben auf Squid-Instanzen beschränkt, die mit –enable-cache-digests gebaut wurden. Dennoch sollten Scanner, Paketlisten und Build-Flags beide CVEs erfassen.

Für Unternehmen im deutschsprachigen Raum ist Squidbleed ein typischer Infrastrukturfall. Die Lücke betrifft nicht den sichtbaren Desktop, sondern eine Netzwerkkomponente zwischen Nutzern und Diensten. Wer Squid einsetzt, sollte Versionen inventarisieren, Patches einspielen, Container neu bauen, Proxys neu starten und anschließend prüfen, ob alle Instanzen wirklich die korrigierten Pakete nutzen.