Vad Squidbleed faktiskt laecker
Squidbleed, registrerat som CVE-2026-47729, är en heap-buffertöverläsning i FTP-katalogslisteparsern i Squid, en av de mest utbredda webbproxyerna på internet. När Squid återger en FTP-lista som saknar filnamnet går en slinga som hoppar över blanksteg ett steg för långt och läser minne bortom den avsedda bufferten. Eftersom Squid återanvänder frigjort minne mellan begäranden är de vilsna byten ofta fragment av andra användares trafik: HTTP-begäranden i klartext med lösenord, cookies, sessionstoken och API-nycklar.
Exponeringen är smalare än Heartbleed, men verklig. En angripare måste vara en behörig användare av en delad proxy och måste kontrollera en FTP-server som proxyn kan nå på port 21, vilket riktar risken mot insiders och mot varje uppställning där proxyn terminerar TLS. HTTPS-trafik som vidarebefordras som en ogenomskinlig tunnel förblir förseglad, så det som står på spel är HTTP-flödena i klartext och de TLS-terminerade flödena som fortfarande varje dag går genom företagsproxyer.
En rad, tjugonio aar, och den AI som hittade det
Grundorsaken är nästan banal. Koden anropade strchr på en sträng som kunde vara tom, och C-standarden säger att strchr behandlar den avslutande null-byten som en del av strängen, så kontrollen som skulle stanna vid slutet av indata fortsatte tyst förbi. Det skyldiga mönstret går tillbaka till en Squid-commit från januari 1997, vilket betyder att felet levererades i standardkonfigurationer, port 21 finns i standardlistan Safe_ports, i tjugonio år över otaliga utgåvor, omskrivningar och säkerhetsgranskningar. Rättningen är ett enda tillagt villkor, en null-kontroll före strchr, eller att stänga av FTP helt, vilket Chromium slopade för år sedan och som nästan inget nätverk längre lutar sig mot.
Detaljen som borde hålla en operatörs uppmärksamhet är vem som hittade det. Två forskare rapporterade det oberoende, Pavel Kohout från Aisle Research i mars 2026 och Lam Jun Rong från Calif.io i april, och underhållarna slog samman rättningen inom dagar, med det offentliga rådet den 23 juni. Men den ursprungliga upptäckten kom från en AI-agent med uppgift att gå igenom FTP-tillståndsmaskinen, inte från ännu en mänsklig revision. Det bekväma antagandet att gammal, hårt granskad kod är säker i kraft av sin ålder föll just på ett mycket offentligt prov, och verktyget som bröt det är nu billigt och brett tillgängligt.
Vad en operatoer boer goera denna vecka
Det konkreta steget är litet: inventera varje Squid-instans du kör, patcha till en rättad utgåva, och om du inte medvetet behöver FTP-proxy, stäng av den och ta bort port 21 från Safe_ports. Prioritera varje proxy som terminerar TLS eller bär HTTP i klartext för flera användare, för det är där kollegers inloggningsuppgifter kan läcka till varandra. I Sverige behandlar MSB exponering av inloggningsuppgifter på delad infrastruktur som en incident som ska rapporteras, och i hela EU lägger NIS2 ansvaret för ett känt, opatchat fel på den utsedda ledningen, inte bara på säkerhetsteamet.
Det större draget är att sluta behandla ett beroendes ålder som bevis på dess säkerhet. Ett fel på en rad gömde sig i tjugonio år i programvara som tusentals organisationer litade på just för att den var mogen, och en AI-granskare hittade det i en enda genomgång. Räkna med att fler av dessa vilande fel dyker upp i dina äldsta och mest betrodda komponenter, och budgetera för en jämn ström av små, oglamorösa patchar i stället för en enda dramatisk.
Läs vidare: Två Cursor-sårbarheter med 9.8 ger angripare utvecklarens dator | Ett enda leverantörsintrång låg bakom hälften av Europas ransomware-offer



