Prošlo je više od dvije godine od otkrića 35 ranjivosti u Squid caching proxyju, a većina njih još uvijek nije otklonjena, upozorava stručnjak za sigurnost koji je prvi prijavio probleme.
U februaru 2021., stručnjak za sigurnost Joshua Rogers je izvršio analizu Squid-a i identificirao 55 ranjivosti u kodu projekta.
Do danas ih je eliminisano samo 20. Većina ranjivosti nije dobila CVE oznake, što znači da nema službenih popravki ili preporuka za njihovo eliminisanje. Rogers je u pismu upućenoj zajednici sigurnosti Openwall-a rekao da je nakon dugog čekanja odlučio da objavi ovu informaciju.
Rogers je detaljno opisao ranjivosti na svojoj web stranici, ističući niz problema - bez upotrebe, curenje memorije, trovanje keša, neuspjeh tvrdnji i druge nedostatke u različitim komponentama. Istovremeno, stručnjak je izrazio razumijevanje za tim Squid, napominjući da mnogi programeri open-source projekata rade na volonterskoj osnovi i ne mogu uvijek brzo odgovoriti na takve probleme.
Vrijedi napomenuti da se Squid trenutno koristi u milionima slučajeva širom svijeta.
Rogersove preporuke podrazumijevaju da svaki korisnik treba samostalno procijeniti da li je Squid prikladan za njihov sistem. U suprotnom, korisnici mogu naići na kvarove i rizike po sigurnost informacija.
Ova situacija nas sve podsjeća na važnost redovnog ažuriranja i zaštite softvera. U suprotnom, kako Rogers naglašava, "neće biti dobro".
Ova zabrinjavajuća epizoda postavlja ozbiljna pitanja o sigurnosti projekata otvorenog koda i njihovoj sposobnosti da se nose sa stalnim nizom novih ranjivosti.
Nadamo se da će članovi zajednice i programeri poduzeti hitne mjere za rješavanje ove prijetnje u budućnosti.
Pismo Joshui na Openwallu (eng.)
Detalji problema na Joshuinoj web stranici (eng.)
izvor: linux.org.ru