Faille Squidbleed expose des requêtes HTTP en clair après 29 ans
Une faille vieille de plusieurs décennies dans le proxy web Squid peut exposer des données HTTP sensibles à des tiers non autorisés ayant accès au même réseau. Surnommée Squidbleed, cette vulnérabilité provient d'une lecture excessive de mémoire qui permet aux attaquants de récupérer des requêtes en clair — y compris des jetons de session et des identifiants — transmises via le proxy. Le bogue est resté indétecté depuis une modification du code de traitement FTP en 1997, malgré la conservation de la configuration par défaut par Squid.
Fonctionnement de la faille
Le problème survient lorsque Squid traite certaines requêtes FTP malformées. Une lecture excessive de mémoire se produit, permettant à un adversaire déjà autorisé à router le trafic via le proxy d'extraire des données sensibles de la mémoire. Comme le trafic HTTP est transmis en clair, les identifiants ou jetons de session intégrés dans les requêtes peuvent être capturés par l'attaquant. La faille persiste même dans les versions actuelles de Squid, car elle est liée à une configuration héritée toujours activée par défaut.
Risques et atténuation
Les organisations utilisant Squid pour la mise en cache web ou les services proxy doivent examiner leurs configurations et appliquer les mises à jour rapidement. Bien que Squid n'ait pas publié de correctif dédié, les utilisateurs sont invités à désactiver le module de traitement FTP concerné s'il n'est pas nécessaire. Les administrateurs réseau devraient également surveiller le trafic pour détecter d'éventuels schémas inhabituels indiquant des tentatives d'exploitation. La divulgation met en lumière les risques à long terme liés au code hérité persistant dans les infrastructures critiques.
Source : The Hacker News. Synthèse éditoriale assistée par IA — TechnoExpress.