Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 24.06.2026 · 4 min Lesezeit

Squidbleed: 29 Jahre alter Squid-Proxy-Bug leakt HTTP-Requests im Klartext

Der Squid-Proxy hat eine kritische Sicherheitslücke, die unter dem Namen Squidbleed bekannt wurde. Ein Heap-Overread in der FTP-Parsing-Logik aus dem Jahr 1997 kann fremde HTTP-Requests inklusive Credentials und Session-Tokens an andere Nutzer des gleichen Proxys preisgeben. Die Lücke ist in der Standardkonfiguration ausnutzbar. Ein Update auf Squid 6.15 oder 5.10 schließt die Lücke.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Squidbleed Sicherheitslücke im Squid Proxy zeigt unverschlüsselte HTTP Requests und sensible Verbindungsdaten im Klartext. IT News Grafik zu einem 29 Jahre alten Proxy Bug mit Risiko für Datenschutz und Netzwerksicherheit.

Der Squid-Proxy, einer der am weitesten verbreiteten Open-Source-Web-Proxys, hat eine kritische Sicherheitslücke, die unter dem Namen Squidbleed bekannt wurde. Die Lücke ermöglicht es Angreifern, fremde HTTP-Requests im Klartext mitzulesen, inklusive darin enthaltener Passwörter, Session-Tokens und API-Keys. Besonders brisant: Der Fehler liegt in einer FTP-Parsing-Funktion aus dem Jahr 1997 und ist in der Standardkonfiguration ausnutzbar.

Meldung und Einordnung

Forscher von Calif.io haben eine Heap-Overread-Lücke im Squid-Proxy entdeckt und veröffentlicht. Die Schwachstelle trägt die CVE-Kennung CVE-2026-XXXXX (CVSS 7.5, hoch) und betrifft alle Squid-Versionen seit mindestens 1997. Der Fehler befindet sich in der Funktion, die FTP-Protokoll-Daten parst. Ein entfernter, nicht authentifizierter Angreifer kann durch gezielte FTP-Anfragen einen Heap-Overread auslösen, der Speicherbereiche anderer Proxy-Nutzer offenlegt.

Die Lücke ist besonders gefährlich, weil sie in der Standardkonfiguration von Squid ausnutzbar ist. Keine speziellen Einstellungen oder Berechtigungen sind nötig. Jeder, der Traffic durch den gleichen Squid-Proxy senden darf, kann potenziell die HTTP-Requests anderer Nutzer mitlesen. In Unternehmensnetzen, in denen Squid als zentraler Forward-Proxy eingesetzt wird, betrifft das potenziell alle Mitarbeiter.

Technische Details für Admins

Der Heap-Overread entsteht in der FTP-Response-Parsing-Funktion von Squid. Wenn ein Client eine FTP-Anfrage über den HTTP-Proxy stellt, parst Squid die FTP-Antworten. Ein speziell präparierter FTP-Server kann eine Antwort senden, die den Parser dazu bringt, über das Ende des reservierten Heap-Speichers hinauszulesen. Die ausgelesenen Daten stammen aus benachbarten Heap-Regionen, in denen sich die HTTP-Requests anderer Clients befinden können.

EigenschaftWert
CVE-IDCVE-2026-XXXXX (Beantragt)
CVSS-Score7.5 (hoch)
AngriffsvektorRemote, nicht authentifiziert
Betroffene VersionenSquid 2.x bis 6.x (alle seit 1997)
Gefixte VersionenSquid 6.15, Squid 5.10
Ausnutzung in freier WildbahnNoch nicht bestätigt
Entdeckt vonCalif.io

Risiko für KMU und Betrieb

Viele kleine und mittlere Unternehmen setzen Squid als zentralen Web-Proxy ein, um den Internetzugriff zu kontrollieren, zu cachen und zu protokollieren. In solchen Konfigurationen teilen sich alle Mitarbeiter denselben Proxy. Ein Angreifer, der Zugriff auf diesen Proxy hat (etwa über ein kompromittiertes Gerät im Netzwerk oder einen externen Client mit Proxy-Zugang), kann die HTTP-Requests aller anderen Nutzer mitlesen.

Das betrifft nicht nur explizite Passwörter in Login-Formularen, sondern auch Session-Cookies, API-Tokens, Authentifizierungs-Header und andere sensible Daten, die in HTTP-Requests übertragen werden. In Zeiten von HTTPS ist der Request-Inhalt zwar verschlüsselt, aber die Metadaten (Host, Pfad, Cookies, Header) sind im Klartext sichtbar, wenn sie über den Proxy laufen.

Was Admins jetzt prüfen sollten

  1. Squid-Version prüfen: squid -v zeigt die installierte Version. Liegt sie unter 6.15 oder 5.10, ist das System verwundbar.
  2. Update einspielen: Die offiziellen Squid-Pakete für Debian, Ubuntu, RHEL und andere Distributionen enthalten inzwischen die gefixten Versionen. apt update && apt upgrade squid oder äquivalent.
  3. Proxy-Zugriff kontrollieren: Prüfen Sie die ACLs (Access Control Lists) in der squid.conf. Nur autorisierte Clients sollten den Proxy nutzen dürfen. http_access allow-Regeln restriktiv halten.
  4. Monitoring aktivieren: Überwachen Sie die Squid-Logs auf ungewöhnliche FTP-Anfragen oder verdächtige Zugriffsmuster. Ein plötzlicher Anstieg von FTP-Requests über den HTTP-Proxy kann auf Ausnutzungsversuche hindeuten.
  5. HTTPS-Only-Richtlinie prüfen: Wenn möglich, sollten alle internen Dienste und Webanwendungen auf HTTPS umgestellt werden. Auch wenn der Squidbleed-Bug Metadaten preisgibt, schützt HTTPS den eigentlichen Request-Body.
  6. Segmentierung prüfen: In größeren Umgebungen sollten verschiedene Nutzergruppen (Mitarbeiter, Gäste, Server) über separate Proxy-Instanzen getrennt werden, um die Angriffsfläche zu verkleinern.
  7. Alternativen evaluieren: Für sicherheitskritische Umgebungen kann der Einsatz alternativer Proxys wie HAProxy, Nginx oder Träfik in Betracht gezogen werden, die keine FTP-Parsing-Funktion haben.

Betriebscheck nach der Meldung

  1. Ist die Squid-Version auf allen Servern bekannt und dokumentiert?
  2. Sind alle Squid-Instanzen auf Version 6.15 oder 5.10 aktualisiert?
  3. Gibt es Squid-Instanzen, die nicht mehr aktiv gemanaged werden (Vergessene Testsysteme, alte Container)?
  4. Sind die Proxy-ACLs so restriktiv wie möglich konfiguriert?
  5. Werden die Squid-Zugriffslogs regelmäßig auf Anomalien überprüft?
  6. Gibt es eine Dokumentation, welche Dienste und Anwendungen den Squid-Proxy nutzen?

Admin-Einschätzung

Der Squidbleed-Bug ist ein Paradebeispiel für die Risiken von Legacy-Code in kritischer Infrastruktur. Ein FTP-Parser aus dem Jahr 1997, der nie für die heutige Bedrohungslage ausgelegt war, kann in der Standardkonfiguration ausgenutzt werden. Die Lücke ist technisch weniger spektakulär als eine Remote-Code-Execution, aber die praktische Auswirkung ist für Unternehmen, die Squid als zentralen Proxy einsetzen, erheblich.

Positiv ist, dass die Squid-Entwickler schnell reagiert haben und Patches in den stabilen Versionen 6.15 und 5.10 bereitstehen. Admins sollten das Update prioritär behandeln, aber nicht in Panik verfallen. Die Lücke erfordert Zugriff auf den Proxy, was die Angriffsfläche in gut segmentierten Netzwerken begrenzt. Trotzdem gilt: Jeder ungepatchte Squid-Proxy ist ein Risiko, das schnell behoben werden sollte.

Passende Anleitungen auf S-EDV

  1. Linux-Server absichern: UFW-Firewall und Fail2ban – Grundlegende Absicherung für Server, die Squid oder andere Dienste betreiben.
  2. Docker und Docker Compose auf Linux installieren (Ubuntu/Debian): die Self-Hosting-Grundlage – Wer Squid in Containern betreibt, findet hier die Basis für das Setup.

Quellen

  1. The Hacker News: 29-Year-Old Squid Proxy Bug Squidbleed Can Leak Cleartext HTTP Requests
  2. BleepingComputer: Squidbleed: 29-year-old Squid proxy bug leaks HTTP reqüsts
  3. Calif.io: Squidbleed Disclosure
Verwandt

Weiter lesen

Alle Artikel →
Fake AI Agent Skill umgeht Security Scanner und erreicht 26.000 Agents in moderner Cybersecurity News Grafik
24.06.2026 ·4 min

Fake AI Agent Skill passiert alle Security-Scanner und erreicht 26.000 Agents

Die Sicherheitsfirma AIR hat einen gefälschten KI-Agenten-Skill entwickelt, der alle gängigen Sicherheitsscanner täuschte und über einen populären Skill-Marketplace sowie Instagram-Werbung auf rund 26.000 Agents verteilt wurde. Der Skill sammelte E-Mail-Adressen der Nutzer, aber der Proof-of-Concept zeigt, wie leicht bösartige Skills in KI-Agenten-Ökosysteme eingeschleust werden können.
US Präsident Donald Trump treibt den Ausbau der Quantencomputer Forschung in den Vereinigten Staaten voran. Symbolische Darstellung eines modernen Quantencomputers mit leuchtenden Qubits, digitalen Netzwerken und futuristischer Hochleistungsrechenzentrum
24.06.2026 ·7 min

Trump ordnet schnelleren Ausbau von Quantencomputern in den USA an

US-Präsident Trump hat am 23. Juni 2026 eine Executive Order unterzeichnet, die den Ausbau von Quantencomputing-Kapazitäten in den USA massiv beschleunigen soll. NIST, das Energieministerium und das Pentagon sind eingebunden. Kritiker warnen vor den Auswirkungen auf die Post-Quantum-Kryptographie und die sogenannte Q-Day-Diskussion — die Befürchtung, dass leistungsstarke Quantencomputer heutige Verschlüsselungsstandards brechen könnten.
Cisco ISE Sicherheitslücke mit Warnsymbol, Adminrechten und Netzwerkzugriff in moderner Cybersecurity News Grafik
24.06.2026 ·4 min

Cisco ISE: Kritische Sicherheitslücke trotz erforderlicher Adminrechte

Cisco hat ein kritisches Sicherheitsupdate für die Identity Services Engine (ISE) veröffentlicht. Die als CVE-2024-20272 dokumentierte Schwachstelle erlaubt authentifizierten Angreifern mit Adminrechten die Ausführung von beliebigem Code auf dem betroffenen System. Betroffene Versionen und Patch-Informationen im Überblick.