Squid堆缓冲区越界读取漏洞(CVE-2026-47729)安全风险通告

01 漏洞详情

影响组件

Squid 是一款开源多功能网页代理服务软件，核心功能为缓存网页资源，以此降低带宽消耗、提升终端网页访问速度。该软件同时支持流量拦截、上网行为监控、网络访问过滤等扩展能力，部署成本低、兼容性强，广泛部署在企业办公内网、校园机房、公共无线网络、航空机载网络等多用户共享网络场景。软件原生内置 FTP 协议解析能力，默认放行 TCP 21 端口 FTP 访问，无需额外配置即可处理 FTP 资源代理请求，适配早年各类传统 FTP 文件服务器。Squid 自1997年上线至今持续迭代近30年，大量机构长期使用老旧版本未做安全更新，是内网流量转发的主流中间件之一。

漏洞描述

近日，奇安信CERT监测到官方修复Squid 堆缓冲区越界读取漏洞(CVE-2026-47729)，该漏洞源于1997年为兼容 NetWare FTP 服务器而添加的空白符跳过逻辑，在处理 FTP 协议目录列表响应时存在 strchr 函数对空终止符（"\\0"）的错误处理。当解析特定格式的 FTP 响应时，程序未能正确处理字符串的终止符，导致循环读取超出预分配的内存缓冲区边界。攻击者可利用该漏洞，通过控制一台可被 Squid 访问的 FTP 服务器，构造不含文件名的恶意 FTP 目录列表响应，触发堆缓冲区越界读取，从而泄露 Squid 进程堆内存中的敏感数据，包括其他用户的明文 HTTP 请求、Authorization 认证头、会话令牌、Cookie 及 API 密钥等。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

利用条件

1.Squid 启用 FTP 网关功能（默认启用）。

2.攻击者可通过代理访问其控制的 FTP 服务器（TCP 21端口在默认 Safe_ports ACL 中）。

3.受害者近期通过同一 Squid 处理过明文 HTTP 请求（或 TLS 终止流量），数据残留在内存池缓冲区（尤其是 4KB 相关池）。

02 影响范围

影响版本

Squid < 7.7（自1997年以来，直至修复版本前，包括 Squid 5.x、6.x、7.6及之前版本；Debian 等发行版打包版本均受影响）

其他受影响组件

无

03 复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Squid 堆缓冲区越界读取漏洞(CVE-2026-47729)，截图如下：

04 受影响资产情况

奇安信鹰图资产测绘平台数据显示，Squid 堆缓冲区越界读取漏洞(CVE-2026-47729)关联的国内风险资产总数为694510个，关联IP总数为335458个。国内风险资产分布情况如下：

Squid 堆缓冲区越界读取漏洞(CVE-2026-47729)关联的全球风险资产总数为13048280个，关联IP总数为4571087个。全球风险资产分布情况如下：

05 处置建议

安全更新

Squid 官方已于2026年4月在 8.x 分支中合入修复补丁，并于2026年6月在 7.6 版本中正式发布修复。建议用户升级至 Squid 7.7 或对应补丁后的 Squid 7.6。

升级后请验证 FtpGateway.cc 文件中是否已添加空终止符检查（null-terminator check）。各 Linux 发行版可能自行打包构建，需以发行版实际提供的修复版本为准。

源码补丁：修改 FTP 空白字符循环逻辑，在 strchr 前增加空终止符检查：

while (*copyFrom && strchr(w_space, *copyFrom))

官方补丁下载地址：

https://github.com/squid-cache/squid/commit/865a131c7d557e68c965043d98c2eccae26deef8

临时缓解措施：

在 squid.conf 中禁用 FTP 协议支持。绝大多数现代网络已几乎不再使用 FTP 协议，禁用该功能不会对正常业务产生影响。

06 参考资料

[1]https://www.openwall.com/lists/oss-security/2026/06/12/1

[2]https://blog.calif.io/p/squidbleed-cve-2026-47729

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。