.webp?w=696&resize=696,0&ssl=1 "Kritik Kalamar Güvenlik Açığı Saldırganların Uzak Kodu Yürütmesine İzin Ver")
Kalamar Web Proxy önbelleğinde, saldırganların urn (Tekdüzen Kaynak Adı) işlemesinde bir yığın arabelleği taşması yoluyla uzaktan kodu yürütmesini sağlayan kritik bir güvenlik açığı keşfedilmiştir.
CVE-2025-54574 olarak izlenen güvenlik açığı, 6.4’ten önce tüm kalamar sürümlerini etkiler ve sistem uzlaşması için önemli bir potansiyele sahip kritik bir şiddet derecesi verilmiştir.
Key Takeaways
1. Squid proxy has a buffer overflow flaw (CVE-2025-54574), enabling remote code execution and memory theft.
2. All Squid versions before 6.4 are vulnerable.
3. Update or disable URN access with the http_access deny URN configuration.
Kalamar RCE kusurunun teknik analizi
Güvenlik açığı, Squid’in urn işleme mekanizmasında yanlış tampon yönetiminden kaynaklanır ve uzaktan sömürülebilen bir yığın tampon taşma koşulu oluşturur.
URN Trivial-HTTP yanıtlarını işlerken, kusur kötü amaçlı uzaktan sunucuların arabellek taşma saldırıları gerçekleştirmesine izin verir ve potansiyel olarak 4KB’ye kadar Squid’in tahsis edilen yığın belleği saldırganlara teslim eder.
Bu bellek maruziyeti, hassas kimlik bilgileri, kimlik doğrulama jetonları veya proxy’nin bellek alanında depolanan diğer gizli veriler içerebileceğinden ciddi güvenlik sonuçları sunar.
Teknik etki, basit bellek açıklamasının ötesine uzanır. Tampon taşma koşulu, uzaktan kod yürütme için fırsatlar yaratarak saldırganların etkilenen kalamar proxy sunucuları üzerinde kontrol sahibi olmalarını sağlıyor.
Güvenlik açığı, tüm Squid-4 sürümleri de dahil olmak üzere çok çeşitli kalamar versiyonlarını etkiler, X 4.17’ye kadar serbest bırakılır, tüm Squid-5. x 5.9 ve Squid-6 üzerinden versiyonlar. X 6.3’e kadar serbest bırakılır.
Squid 4.14’ten önceki eski sürümler test edilmemiş, ancak savunmasız olduğu varsayılır ve potansiyel saldırı yüzeyini önemli ölçüde genişletir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | – Squid Web Proxy önbellek sürümleri <6.4- All Squid 4.x (4.17'ye kadar)- All Squid 5.x (5.9'a kadar)- Tüm Squid 6.x (6.3'e kadar)- Legacy sürümleri <4.14 (varsayılan savunmasız) |
| Darbe | Uzak Kod Yürütme |
| Önkoşuldan istismar | – Squid Proxy’ye Ağ Erişim- URN isteklerini gönderme yeteneği- Kimlik doğrulama gerekmez- kullanıcı etkileşimi gerekmez |
| CVSS 3.1 puanı | 9.3 (kritik) |
Azaltma stratejileri
Kuruluşlar sistem güncellemelerini planlarken anında koruyucu önlemler uygulayabilir. Birincil geçici çözüm, erişim kontrol listelerini (ACL) kullanarak yapılandırma değişiklikleri yoluyla URN erişim izinlerinin devre dışı bırakılmasını içerir: ACL URN Proto URN ve ardından HTTP_ACCESS DENY URN.
Bu yapılandırma, savunmasız kod yolunun kullanılmasını önleyerek URN protokolü isteklerini etkili bir şekilde engeller.
Kalamar geliştirme ekibi, Yamalı Sürüm olarak sürüm 6.4’ü yayınladı ve özel düzeltme A27BF4B84DA23594150C7A86A23435DF0B35B988’de belgelendi.
Güvenlik araştırmacıları Starrynight güvenlik açığını keşfederken, ölçüm fabrikası düzeltmeyi geliştirdi ve uyguladı.
Sistem yöneticileri, Squid 6.4’e güncellemeye öncelik vermeli veya bu kritik güvenlik maruziyetini ortadan kaldırmak için dağıtımları için satıcıya özgü yamaların uygulanmasına öncelik vermelidir.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches