扫码查看公告

【安全通告】Squid "Squidbleed" 越界读取漏洞风险通告（CVE-2026-47729）

尊敬的腾讯云用户，您好！

腾讯云安全中心监测到，Squid 代理服务器被披露其存在越界读取漏洞，漏洞编号CVE-2026-47729，代号 "Squidbleed"。可导致远程攻击者通过控制恶意 FTP 服务器使 Squid 解析特制的 FTP 目录列表，从而泄露内存中的敏感数据（如 HTTP 请求中的 Authorization 头、API 密钥等）。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Squid 是一个高性能的代理缓存服务器，Squid 支持 FTP、gopher、HTTPS 和 HTTP 协议。和一般的代理缓存软件不同，Squid 用一个单独的、非模块化的、I/O 驱动的进程来处理所有的客户端请求。

在 Squid 代理缓存服务器中，由于 FTP 目录列表解析器在处理没有文件名的 FTP LIST 响应行时，对 null 终止符的处理存在缺陷：strchr(w_space, *copyFrom) 在 *copyFrom 为 \0 时会返回指向 null 终止符的指针，导致 copyFrom 指针不断递增直到越过堆缓冲区边界，从而触发堆缓冲区越界读取，随后通过 xstrdup 将越界读取的数据作为文件名返回给攻击者。由于 Squid 的内存池（MEM_4K_BUF）在回收缓冲区时不清零，越界读取的数据可能包含其他用户先前发送的 HTTP 请求（含明文凭证、API 密钥、Authorization 头等敏感信息）。

目前该漏洞的漏洞细节、POC已公开。

风险等级

高风险

漏洞风险

未经身份验证的远程攻击者利用该漏洞可读取 Squid 内存中其他用户的敏感数据（如 HTTP 请求头、Authorization 凭证、API 密钥、Cookie 等），导致敏感信息泄露。

影响版本

Squid < 7.6

安全版本

Squid >= 7.6

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本

https://github.com/squid-cache/squid/releases/tag/SQUID_7_6

2. 缓解措施：

在 Squid 配置（squid.conf 文件）中显式禁用 FTP 协议支持，即删除或注释掉以下行：

# Remove or comment out this line:

# acl Safe_ports port 21

更改完成后重启 Squid 即可。

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://blog.calif.io/p/squidbleed-cve-2026-47729

https://github.com/0xBlackash/CVE-2026-47729

2026-06-22