Hvad Squidbleed faktisk lækker
Squidbleed, registreret som CVE-2026-47729, er en heap-buffer-overlæsning i FTP-mappelisteparseren i Squid, en af de mest udbredte webproxyer på internettet. Når Squid gengiver en FTP-liste, der mangler filnavnet, løber en løkke, der springer mellemrum over, et skridt for langt og læser hukommelse ud over den tiltænkte buffer. Fordi Squid genbruger frigivet hukommelse mellem forespørgsler, er de vildfarne byte ofte fragmenter af andre brugeres trafik: HTTP-forespørgsler i klartekst med adgangskoder, cookies, sessionstokens og API-nøgler.
Eksponeringen er snævrere end Heartbleed, men reel. En angriber skal være en berettiget bruger af en delt proxy og skal kontrollere en FTP-server, som proxyen kan nå på port 21, hvilket retter risikoen mod insidere og mod enhver opsætning, hvor proxyen terminerer TLS. HTTPS-trafik, der videresendes som en uigennemsigtig tunnel, forbliver forseglet, så det, der står på spil, er de HTTP-strømme i klartekst og de TLS-terminerede strømme, der stadig hver dag går gennem virksomhedsproxyer.
En linje, niogtyve aar, og den AI der fandt den
Årsagen er næsten banal. Koden kaldte strchr på en streng, der kunne være tom, og C-standarden siger, at strchr behandler den afsluttende null-byte som en del af strengen, så tjekket, der skulle stoppe ved slutningen af inputtet, fortsatte stille forbi. Det skyldige mønster går tilbage til en Squid-commit fra januar 1997, hvilket betyder, at fejlen blev leveret i standardkonfigurationer, port 21 står i standardlisten Safe_ports, i niogtyve år på tværs af utallige udgivelser, omskrivninger og sikkerhedsgennemgange. Rettelsen er en enkelt tilføjet betingelse, et null-tjek før strchr, eller at slukke helt for FTP, som Chromium droppede for år tilbage, og som næsten intet netværk længere læner sig op ad.
Detaljen, der bør fastholde en operatørs opmærksomhed, er, hvem der fandt den. To forskere rapporterede den uafhængigt, Pavel Kohout fra Aisle Research i marts 2026 og Lam Jun Rong fra Calif.io i april, og vedligeholderne flettede rettelsen ind i løbet af dage, med den offentlige vejledning den 23. juni. Men den oprindelige opdagelse kom fra en AI-agent, der havde til opgave at gennemgå FTP-tilstandsmaskinen, ikke fra endnu en menneskelig revision. Den bekvemme antagelse om, at gammel, meget gennemgået kode er sikker i kraft af sin alder, dumpede lige en meget offentlig prøve, og værktøjet, der brød den, er nu billigt og bredt tilgængeligt.
Hvad en operatoer boer goere i denne uge
Det konkrete skridt er lille: opgør hver Squid-instans, du kører, patch til en rettet udgave, og hvis du ikke bevidst har brug for FTP-proxy, så slå den fra og fjern port 21 fra Safe_ports. Prioriter enhver proxy, der terminerer TLS eller bærer HTTP i klartekst for flere brugere, for det er der, kollegers legitimationsoplysninger kan lække til hinanden. I Danmark behandler CFCS eksponering af legitimationsoplysninger på delt infrastruktur som en hændelse, der skal indberettes, og i hele EU lægger NIS2 ansvaret for en kendt, upatchet fejl på den udpegede ledelse, ikke kun på sikkerhedsteamet.
Det større træk er at holde op med at behandle en afhængigheds alder som bevis på dens sikkerhed. En fejl på én linje gemte sig i niogtyve år i software, som tusindvis af organisationer stolede på netop fordi den var moden, og en AI-gennemgang fandt den i et enkelt gennemløb. Forvent, at flere af disse sovende fejl dukker op i dine ældste og mest betroede komponenter, og budgetter med en jævn strøm af små, uglamourøse patches i stedet for en enkelt dramatisk.
Læs videre: To Cursor-sårbarheder med 9.8 giver angribere udviklerens maskine | Et enkelt leverandørbrud stod bag halvdelen af Europas ransomware-ofre



