Squidbleed: falla di sicurezza rimasta nascosta in Squid Proxy per quasi 30 anni

Patch management

Vulnerabilità

Una vulnerabilità rimasta nascosta per quasi tre decenni dentro uno dei proxy più utilizzati su Internet riporta l’attenzione sullo scottante tema relativo alla gestione della memoria nei software scritti in C. La falla, identificata come CVE-2026-47729 e soprannominata Squidbleed, interessa il progetto Squid Proxy, componente presente da anni in ambienti aziendali, provider di servizi, infrastrutture accademiche e sistemi di caching distribuiti.

La scoperta assume un valore particolare non soltanto per il potenziale impatto, ma anche per la sua longevità. Secondo l’analisa pubblicata dai ricercatori di Calif, il difetto sarebbe presente nel codice sin dal 1997. Numerose generazioni di sviluppatori, revisioni del codice, audit di sicurezza e aggiornamenti hanno convissuto con un problema capace di esporre porzioni della memoria interna del processo utilizzato da Squid Proxy.

È una situazione che richiama inevitabilmente il caso Heartbleed (OpenSSL) del 2014, che abbiamo annoverato tra le vulnerabilità di sicurezza più devastanti della storia, anche se con presupposti tecnici differenti e una superficie di attacco più circoscritta.