JVNDB-2026-009487

Squid-cache.orgのSquidにおける複数の脆弱性

SquidはWeb用のキャッシュプロキシです。バージョン7.5より前のバージョンでは、ヒープのUse-After-FreeによりICPトラフィック処理時にDenial of Service（サービス拒否）攻撃を受けやすい脆弱性が存在します。この問題により、リモートの攻撃者がICPプロトコルを利用してSquidサービスに対し、信頼性が高く再現可能なDenial of Service攻撃を実行できます。この攻撃は、ICPサポートを明示的に有効にしている（すなわち非ゼロの`icp_port`を設定している）Squidの導入環境に限定されます。この問題は`icp_access`ルールによるICPクエリの拒否では軽減できません。バージョン7.5にはこの問題を修正するパッチが含まれています。

Squid-cache.org

• Squid 7.5 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : SQUID-2026:1 Denial of Service in ICP Request handling  Advisory  squid-cache/squid  GitHub

Openwall

• Openwall mailing list archives : oss-security - [ADVISORY] SQUID-2026:1 Denial of Service in ICP Request handling (CVE-2026-33526)

1. 解放済みメモリの使用(CWE-416) [その他]
2. 想定されたライフタイムにおけるリソースの早すぎる開放(CWE-826) [その他]

1. CVE-2026-33526

1. National Vulnerability Database (NVD) : CVE-2026-33526
2. 関連文書 : Do not escape malformed URI twice when sending ICP errors (#2374)  squid-cache/squid@8a7d42f  GitHub

• [2026年04月01日]
    掲載