Squid プロキシに深刻なDoS脆弱性(CVE-2026-33526)

セキュリティニュース

投稿日時: 更新日時:

Squid プロキシに深刻なDoS脆弱性(CVE-2026-33526)

2026年3月25日、オープンソースのプロキシサーバーとして広く利用されている「Squid(Squid Proxy Cache)」において、リモートからのサービス拒否(DoS)攻撃を許す深刻な脆弱性が公開されました。

脆弱性(CVE-2026-33526)の概要と影響範囲

2026年3月25日、Squid開発チームはセキュリティアドバイザリ「SQUID-2026:1」を公開し、Squid Proxy CacheにおけるICPリクエスト処理の欠陥を明らかにしました。

この脆弱性(CVE-2026-33526)は、プロキシサーバー間でキャッシュ情報をやり取りするためのICP(Internet Cache Protocol)の処理に関連しています。リモートの攻撃者が特定の細工を施したICPパケットを送信することで、Squidサービスに対して信頼性が高く再現性のあるサービス拒否(DoS)攻撃を実行し、プロキシサーバーをクラッシュさせることが可能になります。

影響を受けるバージョン

公式アドバイザリによると、影響を受けるバージョンは以下の通りです。

影響を受けるバージョン: Squid 3.0 から 7.4 までのバージョン(ICPポートを0以外に設定している場合)

影響を受ける条件と「アクセス制御の罠」

情報システム部門にとって非常に重要なのは、この脆弱性が「アクセス制御ルール(ACL)の適用前に悪用可能である」という点です。

通常、情シス部門は不要なアクセスを防ぐために icp_access deny all といったルールを設けますが、本脆弱性はこの icp_access による制御では緩和(Mitigation)できないと公式に警告されています。つまり、ポートが開いてさえいれば、リクエストが正規に処理・拒否される前の段階でプロセスをクラッシュさせられてしまいます。

ただし、この攻撃はSquidのICPサポートを明示的に有効化している(icp_port または udp_port に「0以外」のポート番号を設定している)展開環境に限定されます。設定ファイルでポートが指定されていない、あるいはポート番号「0」が設定されている場合は、影響を受けません。