Squidbleed : une fuite mémoire passée inaperçue pendant 30 ans
Une faille très bien planquée dans le code depuis 1997, vient seulement d’être corrigée. Elle s’appelle Squidbleed, référencée comme CVE-2026-47729, et elle touche Squid, un serveur proxy open source que des entreprises, des écoles et des fournisseurs d’accès utilisent depuis des lustres pour mettre en cache, filtrer et surveiller le trafic réseau qui transite chez chez eux.
Et ça fuite fort en fait. Un individu malveillant, qui serait déjà autorisé à passer par le même proxy, peut récupérer la requête HTTP en clair d’un autre utilisateur, avec tout ce qu’elle transporte au passage : mots de passe, clés d’API, cookies de session, et j’en passe. De quoi se faire passer pour la victime sans jamais avoir eu à connaître son mot de passe. Les chercheurs parlent d’un cousin de Heartbleed, la grande fuite mémoire de 2014, sauf que celle-ci vise spécifiquement le trafic non chiffré, l’HTTPS restant à l’abri dans son tunnel.
Comment un bug pareil a-t-il pu survivre presque trente ans de relectures ? Tout part d’une rustine ajoutée en 1997 pour gérer de vieux serveurs FTP NetWare qui bourraient leurs listings d’espaces en trop. Le code de Squid saute ces espaces dans une boucle. Sauf que voilà, quand le serveur d’en face ne renvoie aucun nom de fichier après l’horodatage, la fonction strchr, censée signaler la fin de la chaîne de caractères, renvoie en fait un pointeur valide au lieu du NULL que tout le monde attendait. La boucle continue, déborde du tampon mémoire et recrache au passage des morceaux de mémoire voisine, là où dormait justement la requête d’un autre internaute.
L’ironie, c’est que cette zone n’est jamais remise à zéro avant d’être réutilisée. Un tampon de 4 Ko qui contenait il y a un instant la requête d’une victime en garde donc l’essentiel, prêt à repartir vers l’attaquant comme s’il s’agissait d’un banal nom de fichier.
La découverte, elle, dit quelque chose de l’époque. Lam Jun Rong, chercheur chez Calif.io, n’a pas trouvé la faille tout seul : il bossait lui aussi avec Claude Mythos Preview, l’outil d’IA d’Anthropic qui a fini par être désactivé. En lui demandant d’explorer le comportement complet de la machine à états FTP, l’IA a mis le doigt sur ce cas tordu de strchr, en citant de mémoire la norme du langage C. Comme elle a avalé tout le standard, ce piège pourtant connu n’était pour elle qu’un fait parmi d’autres. Peu de développeurs humains auraient parié là-dessus, ce qui explique sans doute comment un bug d’une seule ligne a traversé trente ans de revue de code.
Côté correctif, Squid 7.6 est sorti le 8 juin et ajoute la vérification qui manquait. Vous pouvez aussi tout simplement couper le support FTP, dont plus personne ne se sert vraiment depuis que les navigateurs l’ont abandonné. Le bug avait été signalé dès avril.
Bref, encore une faille prise en charge par une IA, ça devient une habitude.
Source :
https://blog.calif.io/p/squidbleed-cve-2026-47729
Source : korben.info