1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. プロキシサーバーSquid がFTPゲートウェイの境界外読み取り(CVE-2026-47729)とcache_digestのヒープバッファオーバーフロー(CVE-2026-50012)の脆弱性を修正

プロキシサーバーSquid がFTPゲートウェイの境界外読み取り(CVE-2026-47729)とcache_digestのヒープバッファオーバーフロー(CVE-2026-50012)の脆弱性を修正

セキュリティニュース

投稿日時: 更新日時:

プロキシサーバーSquid がFTPゲートウェイの境界外読み取り(CVE-2026-47729)とcache_digestのヒープバッファオーバーフロー(CVE-2026-50012)の脆弱性を修正

Squidプロジェクトは2026年6月8日、キャッシュプロキシサーバー「Squid」のバージョン7.6をGitHub上でリリースし、2件のセキュリティ脆弱性を修正しました。修正された脆弱性はCVE-2026-47729(FTPゲートウェイコンポーネントにおける境界外読み取り)とCVE-2026-50012(cache_digestにおけるヒープベースのバッファオーバーフロー)の2件です。

CVE-2026-47729は信頼されたクライアントが動作不正なFTPサーバーにアクセスした際に、無関係なトランザクションのデータを境界外で読み取り、別セッションの機微情報が漏洩する可能性があります。CVE-2026-50012は--enable-cache-digestsオプション付きでコンパイルされた環境に限定されますが、悪意ある応答メッセージを通じてヒープバッファオーバーフローが引き起こされ、サービスのクラッシュまたは任意コードの実行につながる可能性があります。なお2件のCVSSスコアは2026年6月15日時点でNVDへの登録が確認されておらず、後述するNISTの2026年4月の運用方針変更(CVE急増対応による「最低優先度CVEのエンリッチ停止」)により、長期にわたって未登録となる可能性があります。SquidはWebキャッシュプロキシとして企業・教育機関・通信事業者など多くの組織で広く使用されており、Squid 7.6へのアップデートを早急に実施することが推奨されます。

サマリー

  • 修正版:Squid 7.6(2026年6月8日リリース
  • CVE-2026-47729:FTPゲートウェイコンポーネントにおける境界外読み取り(Out-of-Bounds Read)。信頼されたクライアントが動作不正なFTPサーバー経由で他のセッションの情報を読み取れる可能性
  • CVE-2026-50012:cache_digestにおけるヒープベースのバッファオーバーフロー(Heap-Based Buffer Overflow)。悪意を持って細工されたcache_digestリプライメッセージにより引き起こされる。--enable-cache-digestsオプションが有効な環境のみに影響
  • 両CVEのCVSSスコアは2026年6月15日時点でNVD未登録(詳細後述)——2026年4月のNIST NVD運用方針変更により「最低優先度CVEはエンリッチしない」方針に転換したため、長期未登録となる可能性がある
  • 悪用が確認された事例は現時点では報告されていない
  • 対応:Squid 7.6にアップデートすること。--enable-cache-digests使用環境は特に優先度を高めて適用すること

CVE-2026-47729:FTPゲートウェイの境界外読み取り

脆弱性の内容

CVE-2026-47729はSquidのFTPゲートウェイコンポーネントに存在する不適切な入力検証(Improper Input Validation)に起因します。

securityonline.infoの説明によれば「信頼されたクライアントが動作不正なFTPサーバーにアクセスする際、無関係なランダムなトランザクションから境界外読み取りを実行できる」とされています。この構文的な正確性に関する入力バグにより、他のセッションの機微情報が権限のない当事者に漏洩する可能性があります。

具体的には、Squidがキャッシュプロキシとして複数のクライアントセッションを同時処理している環境において、FTPプロキシ経由でアクセスする際に他のセッションのデータが読み出される可能性があります。セッション間の完全な分離が修正なしには保証できないという点が問題の核心です。

影響を受ける環境

FTPゲートウェイ機能を使用しているSquidインスタンスが対象となります。なお、FTPプロキシ機能をアクティブに使用していない環境でもSquidのデフォルト設定によっては機能が有効になっている場合があります。

CVE-2026-50012:cache_digestのヒープベースバッファオーバーフロー

脆弱性の内容

CVE-2026-50012はSquidのcache_digest機能における不適切な入力検証に起因するヒープベースのバッファオーバーフロー(Heap-Based Buffer Overflow)です。

securityonline.infoが引用するSquid開発チームの説明によれば、「この問題により、信頼されたサーバーがcache_digestリクエストメッセージに対して悪意を持って細工された返答を送信した際にヒープベースのバッファオーバーフローを実行できる」とされています。

攻撃が成功した場合、プロキシサービスのクラッシュ(DoS)または任意のコードの実行(RCE)につながる可能性があります。

重要な制限条件——--enable-cache-digestsオプション使用環境のみに影響

CVE-2026-50012の影響を受けるのは、--enable-cache-digestsコンパイルオプションが有効化されたSquidインスタンスのみです。

cache_digestはSquidのピアキャッシュ間でキャッシュ内容のダイジェスト情報を共有するためのオプション機能であり、デフォルトでは無効です。大規模なWebプロキシクラスターやISPレベルのキャッシュ配布環境で使用されることがあります。

自組織の環境でこのオプションが有効かどうかは、以下のコマンドで確認できます:

squid -v | grep -i cache-digests

出力に--enable-cache-digestsが含まれる場合は影響を受ける可能性があります。

Squid 7.6のGitHubリリースノートには、今回のパッチに対応する変更として「Harden peerDigestSwapInMask against invalid cache digest reply」(無効なcache digestリプライに対するpeerDigestSwapInMask処理の堅牢化)が記載されており、これがCVE-2026-50012の修正に相当します。

2件のCVE比較

項目 CVE-2026-47729 CVE-2026-50012
脆弱性の種類 境界外読み取り(OOB Read) ヒープベースバッファオーバーフロー
影響を受ける機能 FTPゲートウェイ cache_digest
攻撃者の要件 信頼されたクライアント 信頼されたサーバー
影響の種類 情報漏洩(他セッションのデータ) サービス停止(DoS)・任意コード実行(RCE)の可能性
影響の範囲 FTPプロキシ使用環境 --enable-cache-digests使用環境のみ
CVSSスコア NVD未登録(NVD新方針による長期未登録の可能性) NVD未登録(NVD新方針による長期未登録の可能性)
修正バージョン Squid 7.6 Squid 7.6
積極的悪用の報告 なし(現時点) なし(現時点)

対応手順

① Squidのバージョン確認

squid -v

バージョンが7.6未満の場合はアップデートが必要です。

② Squid 7.6へのアップデート

ソースコードはGitHub(SQUID_7_6リリース)から直接取得できます。パッケージマネージャーを通じてインストールしている場合は、各ディストリビューションのパッケージが更新されるまで待つか、ソースからビルドしてください。

--enable-cache-digestsの確認(CVE-2026-50012)

squid -v | grep -i cache-digests

--enable-cache-digestsが有効な場合は、CVE-2026-50012の影響を受ける可能性があります。即急のアップデートを優先してください。

④ FTPプロキシ機能の使用状況確認(CVE-2026-47729)

設定ファイル(/etc/squid/squid.conf等)でFTPプロキシ機能が有効になっているかを確認してください。FTPプロキシを使用していない場合はリスクが低下しますが、念のためアップデートを適用することを推奨します。

CVSSスコア未登録の背景—2026年4月のNVD運用方針転換

今回の両CVEがNVDに登録されていない理由を理解するうえで重要な背景があります。NISTは2026年4月、NVD運用方針の大幅な変更を公式に発表しました。

変更の背景:CVEの登録件数が2020〜2025年の間に263%増加しており、2026年第1四半期だけで前年同期比約33%増という急増が続いています。NISTはこれまで全CVEにCVSSスコア・影響製品リスト等の詳細情報(エンリッチ)を付与することを目標としてきましたが、件数急増により全件対応が困難になりました。

新方針の内容:今後は一定の基準を満たしたCVEのみをエンリッチし、それ以外は「最低優先度(lowest priority)」として分類します。最低優先度と判断されたCVEはNVDには掲載されますが、CVSSスコア・製品リスト等の詳細情報は即時付与されないことになります。

Squidのような非商用OSSプロキシサーバーの脆弱性は、悪用実績がない段階では「最低優先度」に分類される可能性があり、今回の両CVEが長期間NVD未登録となっている理由の一つと考えられます。

なお2026年6月16〜17日にNVDはSSVC(Stakeholder-Specific Vulnerability Categorization)データの追加という大規模更新を実施することが発表されています(NVD Home確認)。この更新はCISA-ADPが提供するSSVCデータと「影響(affected)情報」の追加であり、CVSSスコアの付与とは別の取り組みです。SSVCはCVSSとは異なる視点でリスクを評価する手法で、脆弱性の優先度判断に活用できますが、現時点では両CVEに対するSSVCデータも確認されていません。

このような状況下では、CVSSスコアが付与されるまでアップデートを待つのではなく、脆弱性の技術的な内容(ヒープバッファオーバーフロー・境界外読み取り)と自組織の環境(cache_digests使用の有無・FTPプロキシ使用の有無)をもとに判断し、Squid 7.6へのアップデートを実施することが現実的な対応です。

 

参考情報

関連記事

ラザルス・グループがnpmでブランドジャッキング攻撃-「buffer-utilities」など数十件の悪意あるパッケージでNode.jsへバックドアを設置ラザルス・グループがnpmでブランドジャッキング攻撃-「buffer-utilities」など数十件の悪意あるパッケージでNode.jsへバックドアを設置 Sambaに2件の致命的な脆弱性-CVE-2026-4408とCVE-2026-4480Sambaに2件の致命的な脆弱性-CVE-2026-4408とCVE-2026-4480 WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) Squid プロキシに深刻なDoS脆弱性(CVE-2026-33526)Squid プロキシに深刻なDoS脆弱性(CVE-2026-33526) KDDIのホームゲートウェイ HGW-BL1500HMに複数の脆弱性、アップデートを推奨KDDIのホームゲートウェイ HGW-BL1500HMに複数の脆弱性、アップデートを推奨 WordPress用プラグイン「Forminator」で複数の脆弱性が発生WordPress用プラグイン「LiteSpeed Cache」で重大な脆弱性が発生(CVE-2023-40000) nginxの「njs」モジュールにCVSS 9.2の深刻なヒープバッファオーバーフロー脆弱性 CVE-2026-8711nginxの「njs」モジュールにCVSS 9.2の深刻なヒープバッファオーバーフロー 脆弱性 CVE-2026-8711 PostgreSQL、5つの重大な脆弱性を修正(CVE-2026-2004,CVE-2026-2005,CVE-2026-2006,CVE-2026-2007,CVE-2026-2003)PostgreSQL、5つの重大な脆弱性を修正(CVE-2026-2004,CVE-2026-2005,CVE-2026-2006,CVE-2026-2007,CVE-2026-2003) MITRE、2025年版 最も危険なソフトウェア 脆弱性トップ25を公表MITRE、2025年版 最も危険なソフトウェア 脆弱性トップ25を公表