セキュリティ研究組織 Calif.io は 6 月 23 日、キャッシュ Proxy 「Squid」に約 29 年潜伏していたヒープ over-read 脆弱性「Squidbleed」(CVE-2026-47729) を公表した。Anthropic の Claude Mythos Preview を解析支援に用い、1997 年 1 月にコミットされた FTP ディレクトリリスティング処理の欠陥に到達したという。Heartbleed と類似した挙動で、他ユーザの HTTP リクエストヘッダや Cookie、API キーを応答として返してしまう恐れがある。
主なポイント
- CVE-2026-47729 は Squid の FTP パーサが境界外のヒープを読み出し、別ユーザのリクエストデータを応答として混入させる
- デフォルト構成で FTP 取得が有効・Safe_ports に 21 番が含まれており、追加設定なしで悪用条件が揃う
- 共有 Proxy (社内・学校・公衆無線) で複数ユーザの認証情報が同時に露出するリスクが高い
- メンテナの Amos Jeffries は Squid 7.6 リリースでの取り込みを否定、修正は 7.7 で予定と訂正
- 大半のブラウザが FTP サポートを廃止済みのため、FTP 機能の無効化が当面の現実的緩和策
出典: Decades-Old Squid Proxy Flaw 'Squidbleed' Can Expose User Data