Giriş
Squid web proxy’sinde tespit edilen bir heap over-read açığı, başka bir kullanıcının açık metin HTTP isteklerinin, bu isteklere dahil olan kimlik bilgileri veya oturum token’larıyla birlikte sızdırılmasına yol açmaktadır. Bu durum, aynı proxy üzerinden trafik gönderme iznine sahip olan kullanıcılar için ciddi bir güvenlik riski oluşturur.
Saldırı Nasıl Çalışıyor?
Açık, Squid’in FTP dizin listeleme analizcisi içindeki bir hatadan kaynaklanmaktadır. Eskiden var olan NetWare sunucularının listelemeleriyle ilgili olarak yazılan kod, boşlukları atlamak için bir döngü kullanıyor:
c
while (strchr(w_space, *copyFrom)) ++copyFrom;
Saldırganın FTP sunucusu, zaman damgasından hemen sonra biten ve dosya adı içermeyen bir listeleme satırı gönderdiğinde, copyFrom dizenin null terminatörüne ulaşır. strchr bu terminatörü, aradığı dizenin bir parçası olarak kabul edip, bir işaretçi döndürdüğü için döngü durmaz ve buffer’ın sonuna kadar yürür. xstrdup bu aşamada daha önceki bir kullanıcının HTTP isteğini sızdırarak saldırgana geri yollar.
Etkilenen Sistemler
Açık, CVE-2026-47729 numarasıyla tanımlanmış ve “Squidbleed” adı verilmiştir. Etkilenmiş Squid sürümleri:
- Varsayılan yapılandırmada aktif hale gelen eski FTP işleme kodu
- Proxy’den geçiş izni olan kullanıcılar mevcut olduğu için, genellikle eğitim kurumları, ofisler ve kamusal Wi-Fi ağlarında bulunur.
- Açık, sadece Squid’in okuyabileceği trafiği etkiler (örneğin, normal HTTPS trafiği etkilenmez).
Çözüm ve Korunma
Eğer sistemi güncelliyorsanız, sadece sürümü değil, düzeltmenin gerçekten uygulandığını da kontrol edin.
- FtpGateway.cc içinde koruma kontrolünü doğrulayın.
- Dağıtım paketinizin yamanıp yamanmadığını kontrol edin (örneğin, Debian’da Squid 5.7 mevcuttur).
- FTP’yi devre dışı bırakmayı düşünün; çünkü çoğu ağda FTP kullanılmamaktadır.
Saldırgan, FTP sunucusuna erişebilmek için proxy üzerinden 21 numaralı portu kullanmak zorundadır ve bu port varsayılan olarak açıktır.
Sonuç
Güvenlik açığının etkili bir şekilde kapatılıp kapatılmadığını kontrol etmek ve FTP protokolünü devre dışı bırakmak, güvenliğinizi artırmak için önemli adımlardır. Acil olarak sistemlerinizi güncelleyerek, sadece CVE-2026-47729 için değil, aynı zamanda diğer potansiyel zafiyetler için de sürekli izleme ve güncellemeyi sürdürmelisiniz.
