El 21 de juny de 2026 Debian va publicar l’avís DSA-6360-1 per a Squid, el conegut proxy de cau web. L’actualització tapa quatre vulnerabilitats diferents i substitueix la versió vulnerable 6.13-2+deb13u1 per 6.13-2+deb13u2 a la branca estable Trixie (Debian 13).
La més cridanera del grup és CVE-2026-47729, batejada com a Squidbleed pels seus descobridors (Calif.io). El nom no és casual: igual que el vell Heartbleed, l’error deixa escapar memòria que no s’hauria de veure. L’origen és un defecte al parser de llistats de directoris FTP, dins la funció htmlifyListEntry() de FtpGateway.cc. El codi fa servir strchr() per saltar espais després d’una marca de temps, però no comprova el caràcter nul de fi de cadena. Segons l’estàndard de C, strchr() retorna un punter al mateix NUL en comptes de NULL, així que el bucle continua llegint més enllà del buffer. Com que Squid recicla els buffers del pool MEM_4K_BUF sense posar-los a zero, aquesta lectura pot arrossegar restes de sessions anteriors: capçaleres HTTP d’altres usuaris del proxy, incloses capçaleres Authorization amb contrasenyes, tokens de sessió o claus d’API.
Per explotar-ho, l’atacant necessita un servidor FTP maliciós al qual el proxy es pugui connectar, i que la víctima comparteixi el mateix Squid. El suport FTP ve activat per defecte i el port 21 és a l’ACL Safe_ports estàndard, així que la configuració per defecte és vulnerable. L’abast real és limitat: només afecta el trànsit HTTP en clar, perquè HTTPS viatja per túnels CONNECT opacs que Squid no inspecciona. Tot i això, en desplegaments corporatius o institucionals on molta gent comparteix un mateix proxy, el risc de fuita de credencials és seriós. SUSE li va assignar gravetat moderada (CVSS 6.5).
Els altres tres errors corregits en aquest avís són:
- CVE-2026-33515 — lectura fora de límits que pot filtrar petites quantitats de memòria del procés en respostes d’error a peticions ICP mal formades. Només afecta si el suport ICP està habilitat explícitament amb un
icp_portdiferent de zero. - CVE-2026-33526 — use-after-free de heap en el maneig de respostes ICP, que permet una denegació de servei remota mitjançant trànsit ICP manipulat.
- CVE-2026-50012 — desbordament de buffer de heap al component de cache digests que pot tombar Squid i, en teoria, permetre execució de codi. Només afecta les compilacions fetes amb
--enable-cache-digests, una opció no habilitada per defecte.
Si administres un Squid sobre Debian, actualitza el paquet com més aviat millor. Un apt update && apt upgrade et portarà la versió 6.13-2+deb13u2; després convé reiniciar el servei perquè els nous workers carreguin el codi corregit. Mentrestant, si no necessites FTP al proxy pots mitigar Squidbleed deshabilitant aquest suport o traient el port 21 de Safe_ports, i desactivar ICP i els cache digests redueix l’exposició dels altres tres errors.
Font
- Debian Security Tracker — DSA-6360-1 squid: https://security-tracker.debian.org/tracker/DSA-6360-1
- CVE-2026-33515: https://nvd.nist.gov/vuln/detail/CVE-2026-33515
- CVE-2026-47729 (Squidbleed): https://nvd.nist.gov/vuln/detail/CVE-2026-47729