لقد مر أكثر من عامين منذ اكتشاف 35 نقطة ضعف في وكيل Squid Caching، ولا يزال معظمها غير ثابت، كما يحذر الخبير الأمني الذي أبلغ عن المشاكل لأول مرة.
وفي فبراير 2021، أجرى متخصص الأمن جوشوا روجرز تحليلاً لبرنامج Squid وحدد 55 نقطة ضعف في كود المشروع.
وحتى الآن، تم القضاء على 20 منهم فقط. لم تحصل غالبية الثغرات الأمنية على تصنيفات CVE، مما يعني عدم وجود إصلاحات أو توصيات رسمية للقضاء عليها. وقال روجرز، في رسالة إلى مجتمع Openwall الأمني، إنه بعد انتظار طويل، قرر نشر هذه المعلومات.
قام روجرز بتفصيل نقاط الضعف على موقعه على الإنترنت، وسلط الضوء على مجموعة متنوعة من المشكلات - الاستخدام بعد الاستخدام، وتسرب الذاكرة، وتسميم ذاكرة التخزين المؤقت، وفشل التأكيد، وعيوب أخرى في المكونات المختلفة. في الوقت نفسه، أعرب المتخصص عن تفهمه لفريق Squid، مشيرًا إلى أن العديد من مطوري المشاريع مفتوحة المصدر يعملون على أساس تطوعي ولا يمكنهم دائمًا الاستجابة بسرعة لمثل هذه المشكلات.
تجدر الإشارة إلى أن Squid قيد الاستخدام حاليًا في ملايين الحالات حول العالم.
تشير توصيات روجرز إلى أنه يجب على كل مستخدم أن يقيم بشكل مستقل ما إذا كان Squid مناسبًا لنظامه. وبخلاف ذلك، قد يواجه المستخدمون حالات فشل ومخاطر تتعلق بأمن المعلومات.
يذكرنا هذا الموقف جميعًا بأهمية التحديث المنتظم للبرامج والحفاظ عليها آمنة. وإلا، كما يؤكد روجرز، "فإن ذلك لن يجدي نفعا".
تثير هذه الحادثة المثيرة للقلق تساؤلات جدية حول أمان المشاريع مفتوحة المصدر وقدرتها على التعامل مع التدفق المستمر لنقاط الضعف الجديدة.
ومن المأمول أن يتخذ أعضاء المجتمع والمطورون إجراءات فورية لمعالجة هذا التهديد في المستقبل.
رسالة إلى جوشوا على Openwall (إنجليزي)
تفاصيل المشاكل على موقع جوشوا (إنجليزي)
المصدر: linux.org.ru