Friday Squid Blogging: Squid HTTP代理服务器的新漏洞

在一篇罕见的鱿鱼/安全联合帖子中，Squid HTTP代理服务器中发现了一个新漏洞。

标签: squid, 漏洞

发布于2025年8月8日晚上7:22 • 21条评论

两次点击以获得更多隐私：Facebook点赞按钮将在您点击此处后启用。在您启用按钮之前，不会从Facebook加载任何数据。点击[i]按钮获取更多信息。未连接到Facebook两次点击以获得更多隐私：Tweet按钮将在您点击此处后启用。在您启用按钮之前，不会从Twitter加载任何数据。点击[i]按钮获取更多信息。未连接到Twitter如果您点击激活分享按钮，数据将从第三方加载，允许他们跟踪您对schneier.com的访问。更多详情请点击[i]按钮。

评论

Mexaly •
2025年8月8日晚上8:03
“X谁知道确切位置？只有WW。这是他最后的消息X”
William Webster 1924-2025

finagle •
2025年8月9日上午6:47
最近朋友请我对一个网站进行安全审计。虽然他们没有具体说明他们的担忧，但他们发送给我的URL是支付流程的开始。
FYI TL;DR版本
该网站是一个极右政治团体的网站，通过一个名为nation builder的组织托管在Cloudflare后面。似乎他们为极右翼提供托管服务，并托管一系列乍一看可能促进仇恨言论和各种~主义的网站。我检查了Cloudflare是否允许这种网站，并发现他们因此受到了相当多的批评。除此之外，他们的安全性很差，从遗留的TLS和JS库开始。

cls •
2025年8月9日上午7:04
@finagle
回复：
除此之外，他们的安全性很差，从遗留的TLS和JS库开始。
你没有告诉他们这些漏洞，是吗？谢谢。我们稍后会“修复”网站！哈。
更严肃地说，cloudflare因其一些做法而受到了应有的批评。但是，令人不快的言论并不违法。您评估的网站是否有任何CSAM或煽动暴力或其他此类禁止内容？如果网站内容符合cloudflare的服务条款，那就足够了。

Clive Robinson •
2025年8月9日上午8:36
Musk DOGiE是最大的浪费吗？
我怀疑这会让一些人感到惊讶，但其他人可能希望看到他们的怀疑得到支持，
https://www.techdirt.com/2025/08/08/doges-efficiency-theater-wasted-21-7-billion-while-destroying-life-saving-programs-based-on-conspiracy-theories/
217亿美元正如他们所说“很多钱”，浪费在“效率剧场”上。几乎立即想到的问题当然是“谁的口袋？”因此变得更深入，第二个是“有多少钱滑过了椭圆形办公室的桌子？”
不幸的是，文章没有深入说明任何内容，但指出其中很多是给现在失业的联邦工人的，如果他们不拿钱，他们也会被带有偏见地解雇。
然而，文章确实深入探讨了预计至少1400万可避免的死亡将落在Musk的手中，其中近500万将是婴儿和幼儿以及其他5岁以下的儿童，
“世界上最富有的人，负责政府效率，根据边缘社交媒体账户的阴谋论做出生死决定。可能会出什么问题？
嗯，一切，事实证明。
DOGE的皇冠上的成就完全摧毁了USAID，基于——我觉得有必要重复这一点——阴谋论。《柳叶刀》发表的一项研究发现，USAID在2001年至2021年间防止了9200万人死亡。该机构的毁灭现在预计将在未来五年内导致1400万可避免的死亡，包括450万5岁以下儿童。
这是Musk和他相信的荒谬废话兜售者手上的血，而不是与真正的专家交谈。”
我的“简单数学”表明，Musk手上更可能有超过2300万可避免的死亡。
他经常表现得像一个发脾气扔玩具出婴儿车的婴儿，因此我称他为“Hell-on Rusk”，而其他人则不那么礼貌。
我相信在您阅读本文时，新名字正在出现。

Clive Robinson •
2025年8月9日上午9:28
@ Bruce,
您过去曾对某些类型的摄影表示过兴趣。
嗯，“皇家海事格林威治”（RMG）年度天文摄影师短名单已经公布，有些真的很惊人，会在任何墙上看起来都很棒，
https://www.rmg.co.uk/whats-on/astronomy-photographer-year/galleries/2025-shortlist
如果人们这个周末碰巧在伦敦，他们可能想过去看看100张超过5000张参赛照片在灯箱上展示，
https://www.rmg.co.uk/whats-on/astronomy-photographer-year/exhibition

Winter •
2025年8月9日上午11:58
@Clive
我的“简单数学”表明，Musk手上更可能有超过2300万可避免的死亡。
Musk只是遵循命令。命令写在Project-2025中。这些才是真正的婴儿谋杀者。
保守派说他们想要更多婴儿，但只有合适的婴儿。其他婴儿应该被处理掉。
[1] ‘https://chills.substack.com/p/how-project-2025-took-down-usaid

not important •
2025年8月9日下午5:25
https://www.yahoo.com/news/articles/japans-stealth-warship-just-won-043004884.html
=日本通过其新的最上级护卫舰获得了有史以来最大的武器出口交易。
65亿美元的销售将看到澳大利亚购买11艘隐形战舰。最上级销售是日本武器出口行业的突破，东京在解除长达数十年的外国武器销售自我禁令后正试图发展该行业。
427英尺的最上级护卫舰是世界上最新的战舰之一。建于2019年，这些船只的第一艘于2022年才在日本服役。
这些船只配备了两个Type 17反舰巡航导弹发射器、一个16单元垂直发射系统、两个.50口径机枪炮塔、两个Type 12鱼雷发射管、一个五英寸主炮，以及后部空间用于一架海鹰直升机或无人机。
最上级的一个关键卖点是其许多功能，如导航和武器处理，都是自动化的。这允许它由大约90人的较小船员运行。相比之下，一些相同大小的战舰可能需要多达200人的船员。=

ResearcherZero •
2025年8月10日上午8:25
@Winter, @Clive
doggie bag的另一个贡献（除了捡起自己的垃圾外）是妨碍了响应或检测机密和分类数据渗透的能力。降级的访问控制、削弱/缺失的安全性和不正确的协议，当几乎没有问责制时，可以 quietly 被忽略，因为无知的 pack animals 太忙于闻彼此的屁股并竞争以保持 lead lapdogs 设定的步伐。
那些贵宾犬中没有人会知道外国政府 wish-list 上有哪些设施，或这些设施的真正重要性。他们都更感兴趣的是在 Mom and Dad 的 Chester drawers 中翻找玩具和 treats。即使 NORAD 的前门也会大开，如果他们认为可以在没有任何公众知识或哗然的情况下进入。他们会将其设置为日托中心，带有一条 dirty line 来为他们的 dozens of illegitimate children 流式传输卡通片，以及尿布服务。
–
暴力与语言与战争
克里姆林宫有数千名学童为军队建造无人机。
作为回报，孩子们可以在最终学校考试中获得加分。通过忽略或扭曲证据以符合军事和克里姆林宫官员要求的意识形态要求的教学策略，向学生 perpetuating false beliefs。
学童被教导使用编码语言，隐藏军事应用，并忽略他们的参与直接导致无辜平民死亡的事实。编码语言还准备孩子们采用军事语言和保密。
如果“熊”正在被防御免受“蜜蜂”，也许熊一直在试图偷不属于熊而是属于蜜蜂的“蜂蜜”。
（术语“蜜蜂”也 dehumanizes 目标并 minimizes 行动的后果。）
‘https://theins.ru/en/inv/283351
俄罗斯无人机追捕平民，被称为“人类狩猎”。
https://www.hrw.org/news/2025/06/17/russia-uses-drones-to-target-civilians-in-alarming-development
“双击”打击用于针对那些试图帮助的人。
https://edition.cnn.com/2025/08/06/europe/russian-drones-hunt-civilians-kherson-latam-intl
普京自1994年以来一直觊觎乌克兰领土。
https://meduza.io/en/feature/2025/08/06/a-justified-perception-of-russian-interests

ResearcherZero •
2025年8月10日上午9:32
@Clive
一剂好的禽流感会多次抹去任何“储蓄”。
小丑们正在档案中寻找阴谋， happily ignoring reality。这可能让他们忙碌，因为很难推断如果他们拿到真正重要的情报会发生什么。无论哪种方式，结果都将/是有害的。
天知道通过取消资助援助、研究和许多其他减轻、准备或响应灾难和疾病的部门和措施浪费了多少数十亿。我们 survived 哥白尼作品的 suppression，以及许多启示录，但那个时代的技术 significantly less 百万吨、飞行能力和速度。
他们现在正试图重新雇用人员从事天气服务。也许有人告诉白宫天气条件在尝试拦截ICBM时有多重要？
（或者私人商业替代服务不存在，并且很多重要情报来自卫星和其他方法/设施等来源？）
有意义的是，如果您要参与灾难、战争罪或侵犯人权行为，确保此类事项不被调查非常重要。摆脱许多其他调查能力对于避免问责制和任何记录由 blindly acting on one’s own ignorant beliefs 造成的数千次 cock-ups 也很重要。
当然，“DOGE储蓄”的最新总额继续是 total tosh。
‘https://www.cbsnews.com/news/doge-claims-slashing-costs-cbs-news-analysis/
数万公吨的援助可能（正在）浪费。
https://www.spokesman.com/stories/2025/aug/02/vast-supplies-of-us-aid-remain-stranded-despite-st/
数十万箱食物，已经支付，整年坐在那里。
https://www.cnn.com/2025/02/27/politics/usaid-contracts-children-food-aid

lurker •
2025年8月10日下午3:03
用AirTags跟踪孩子？Instagram地图可能更容易。早期报告强调这是一个选择加入功能，但尚不清楚是否可以在“儿童电话”设置中锁定。
‘https://techcrunch.com/2025/08/08/how-to-use-instagram-map-and-protect-your-privacy/

not important •
2025年8月10日下午3:53
https://www.telegraph.co.uk/news/2025/06/16/the-new-mi6-chief-is-no-diversity-hire/
=Metreweli女士将于9月接任她的新职位C。在英国情报服务的字母游戏中，她目前持有Q头衔，short for quartermaster，负责开发MI6的技术能力——基本上是制造间谍 gadget。值得注意的是，在她的 watch 下，BBC被授予了对Buckinghamshire的Hanslope Park的独特访问权，MI6的科学实验室 based。=
由于她的东欧血统，她看起来非常 hot。

anon •
2025年8月10日下午5:23
https://www.theguardian.com/technology/2025/aug/10/tiktok-trust-safety-team-moderators-ai
https://instituteforsoundpublicpolicy.org/ustechworkers/

Winter •
2025年8月11日凌晨1:28
@ResearcherZero
一剂好的禽流感会多次抹去任何“储蓄”。
数万公吨的援助可能（正在）浪费。
我认为这根本与浪费或金钱无关。这是关于 sick and tired of people looking for a damn hand out! 正如前GOP市长Tim Boyd of Colorado City如此清晰和明确地解释GOP政策目标。
当他的 people 由于德克萨斯州电网的全州故障而冻死时，Tim Boyd写道：
“如果你因为没电而坐在家里寒冷，并且坐在那里等待有人来救你，因为你的懒惰是你养育的直接结果！只有强者会生存，弱者会灭亡。”
（我的强调）
USAID是一个让弱者生存的机构的 poster child。杀死USAID然后只是遵循让弱者灭亡的这一政策目标。

ResearcherZero •
2025年8月11日凌晨1:48
@Winter
市长Tim听起来是个可爱的家伙。他当然是对的。所有老人，无论能力如何，都应该自己挖出雪，在零度以下的温度中用手指甲拖着自己！如果有必要，直接沿着高速公路。上Tim的前 path。上Tim的门廊，进Tim的房子。一旦Tim的家 ablaze，他们都可以 around the fire 温暖他们冻伤的四肢。
庄严的家中有很多好 firewood，其中很多不必要地浪费了。业主 often carry extra weight on the rump that could be sliced off and nicely roasted。我听说钱越多， cut 的风味和质地就 batter。人们应该出去开始吃，在‘The Fat’ all runs out one day soon之前。
消费者可能会支付数据中心驱动的电费上涨成本。
‘https://www.thecooldown.com/green-business/ai-energy-demand-electricity-gpt-3-power/
亚利桑那州Tucson的当地人因担心用水而阻止了一个与Amazon相关的项目。
https://www.tucsonsentinel.com/local/report/080625_project_blue/tucson-city-council-pulls-plug-amazons-project-blue/

Winter •
2025年8月11日凌晨2:22
@ResearcherZero
市长Tim听起来是个可爱的家伙。他当然是对的。
所以是当前政府的信念，以及MAGA总体而言。
RFK以坚定的优生学家信念领导卫生部门，认为没有医疗援助，强者会生存，弱者会灭亡[1]。因此他正在使这一优生学家的梦想成真，例如，通过在对抗癌症的战争中选择癌症的一方。
我认为在MAGA领导层眼中，弱者大规模投票支持自己的 culling，这是他们实际执行这一政策所需的全部证明（pun intended）。
[1] ‘https://www.commondreams.org/opinion/rfk-jr-hhs-eugenics

ResearcherZero •
2025年8月11日凌晨2:42
水安全
虽然名为Project Blue的Tuscon项目被停止，但在德克萨斯州其他地方， massive data centers are being constructed while Texas continues to suffer through a drought。
德克萨斯州数据中心将在2025年使用490亿加仑水。到2030年，这可能上升到3990亿加仑。（一立方千米水约等于2640亿加仑。）
消耗的水是从含水层和其他当地社区供水系统中抽取的。为了维持新鲜饮用水可用性，未来十年需要数千亿美元投资于美国的新鲜水基础设施和存储。
‘https://texasscorecard.com/state/texas-data-centers-thirst-for-water-challenging-state-infrastructure/
数据中心可能消耗相当于整个社区水消耗的水。
https://www.eesi.org/articles/view/data-centers-and-water-consumption
在一些地区，水消耗每年翻倍，随着能源需求的增长。
https://www.tspr.org/2025-07-21/data-centers-water-electricity-growing-usage
“我们昨晚有了突破。我想告诉你。”
我们很抱歉
但你不再需要
或想要
甚至在这里关心
机器可以做得比你更好
这是你问问题的结果
工会同意
‘必须做出牺牲’
计算机从不罢工
为了拯救工人，你必须把他放到牧场
看起来我们必须让你走
知道
你——人类——现在过时了
是不是感觉很充实
而在地狱中我们不会让你做任何事
‘https://www.youtube.com/watch?v=VdCAQ7yoKdc

ResearcherZero •
2025年8月11日凌晨3:38
@Winter
我有特权明天埋葬一位被癌症 consume 的 close friend。她非常 tough，就像许多我认识的 slowly and in terrible agony 死去的人一样，尽管被 prescribed large amounts of very strong pain killers。其中相当一部分人是 military veterans，他们在太平洋作战时看到了一些最艰难的条件， often behind enemy lines as part of special operations。在战斗中战斗， so that the likes of RFK Jr could powder his nose and get drunk in peace。舒适的问题是它让像Robert Jr这样的人 selfish and soft in the head。
那些遭受癌症 ravages 的人没有选择服用止痛药。它是 thrust upon them to stem the pain of very real suffering that cannot be escaped by choice。
我会假设癌症不在乎人们有多 tough or strong，并且RFK Jr和他的朋友是 imbeciles, fools, idiots and morons who deliberately choose to be both stupid and cruel。选择以这种方式行为 demonstrates considerable cowardice。他们选择躲在阴谋后面以避免困难和不舒服的选择。他们选择不帮助，而是利用他人的痛苦 personal gain。
选择 shape perception。Perception shape beliefs。Beliefs shape the actions to leech off of and harm others in-spite of their vast opportunities of undeserved wealth and comfort。
现在 surviving veterans 想享受一些休息，而不被RFK Jr和他的朋友 playing with Veterans Affairs and removing access to health care from those who actually did a hard day’s work and also served their country and their community 骚扰。所有其他 suffering 的人 deserve help and assistance, not the cruelty and mockery of fools。
也许只有 once the repercussions of people’s selfish decisions unfold, will they grasp what brought about the first two World Wars, the Great Depression and mass unemployment。
Ignoring the suffering of others always has a cost。Upon all。A cost born seventh fold。

Winter •
2025年8月11日凌晨3:42
@ResearcherZero
为了维持新鲜饮用水可用性，未来十年需要数千亿美元投资于美国的新鲜水基础设施和存储。
我看到过去的一句 soundbite：
让他们喝Aquafina

Winter •
2025年8月11日凌晨5:08
@ResearcherZero
我会假设癌症不在乎人们有多 tough or strong，并且RFK Jr和他的朋友是 imbeciles, fools, idiots and morons who deliberately choose to be both stupid and cruel。选择以这种方式行为 demonstrates considerable cowardice。
我为您和您的朋友感到抱歉。将癌症视为“弱点”的迹象 totally nuts and devious。它是旧“疾病是上帝的惩罚”教义的 offshoot。
优生学和社会达尔文主义是你可以最接近 psychopathy 的东西，直到你迈出最后一步。它 simply human husbandry, treating humans like cattle or pigs。
但这基本上是 White Supremacy 或 Christian Nationalism [1] boil down to, treating other humans like cattle in a breeding program。
[1] 实际上，Christian Nationalism