Kapin sa duha ka tuig na ang milabay sukad sa pagkadiskobre sa 35 ka mga kahuyangan sa Squid caching proxy, ug kadaghanan kanila wala pa masulbad, nagpasidaan sa eksperto sa seguridad nga unang nagtaho sa mga problema.
Niadtong Pebrero 2021, ang espesyalista sa seguridad nga si Joshua Rogers nagpahigayon usa ka pagtuki sa Squid ug giila ang 55 nga mga kahuyangan sa code sa proyekto.
Sa pagkakaron, 20 pa lang niini ang natangtang. Ang kadaghanan sa mga kahuyangan wala makadawat mga ngalan sa CVE, nga nagpasabut nga walaβy opisyal nga pag-ayo o rekomendasyon sa pagwagtang niini. Si Rogers, sa usa ka sulat ngadto sa komunidad sa seguridad sa Openwall, miingon nga human sa dugay nga paghulat, nakahukom siya nga imantala kini nga impormasyon.
Gidetalye ni Rogers ang mga kahuyangan sa iyang website, nga nagpasiugda sa lainlaing mga problema - walaβy gamit nga walaβy gamit, pagtulo sa memorya, pagkahilo sa cache, pagkapakyas sa pagpahayag ug uban pang mga sayup sa lainlaing mga sangkap. Sa samang higayon, ang espesyalista nagpahayag ug pagsabot alang sa Squid team, nga nag-ingon nga daghang mga developers sa open-source nga mga proyekto ang nagtrabaho sa usa ka boluntaryo nga basehan ug dili kanunay nga dali nga makatubag sa maong mga problema.
Angay nga hinumdoman nga ang Squid gigamit karon sa milyon-milyon nga mga higayon sa tibuuk kalibutan.
Ang mga rekomendasyon ni Rogers nagpasabot nga ang matag tiggamit kinahanglan nga independente nga magtimbang-timbang kung ang Squid angay ba sa ilang sistema. Kung dili, ang mga tiggamit mahimong makasugat og mga kapakyasan ug mga peligro sa seguridad sa kasayuran.
Kini nga sitwasyon nagpahinumdom kanatong tanan sa kamahinungdanon sa kanunay nga pag-update ug pagpabiling luwas sa software. Kay kon dili, sama sa gipasiugda ni Rogers, "dili kini makahatag og kaayohan."
Kini nga makahasol nga yugto nagpatunghag seryoso nga mga pangutana bahin sa seguridad sa mga open source nga proyekto ug ang ilang abilidad sa pagsagubang sa kanunay nga pag-agay sa bag-ong mga kahuyangan.
Gilauman nga ang mga miyembro sa komunidad ug mga developers molihok dayon aron matubag kini nga hulga sa umaabot.
Sulat kang Joshua sa Openwall (eng.)
Mga detalye sa mga problema sa website ni Joshua (eng.)
Source: linux.org.ru