Più di dui anni sò passati da a scuperta di 35 vulnerabilità in u proxy di caching Squid, è a maiò parte di elli ùn sò sempre micca riparati, avvirtenu l'espertu di sicurità chì hà dettu prima i prublemi.
In u ferraghju 2021, u specialista di sicurezza Joshua Rogers hà realizatu un'analisi di Squid è hà identificatu 55 vulnerabilità in u codice di u prugettu.
A data, solu 20 di elli sò stati eliminati. A maiò parte di i vulnerabili ùn anu micca ricivutu designazioni CVE, chì significa chì ùn ci sò micca correzioni ufficiali o raccomandazioni per eliminà. Rogers, in una lettera à a cumunità di sicurità Openwall, hà dettu chì dopu à una longa attesa, hà decisu di publicà sta informazione.
Rogers hà detallatu e vulnerabilità in u so situ web, mettendu in risaltu una varietà di prublemi - usu dopu senza, perdita di memoria, avvelenamentu di cache, fallimentu di asserzioni è altri difetti in diversi cumpunenti. À u listessu tempu, u specialista hà manifestatu a cumpressione per a squadra Squid, nutendu chì parechji sviluppatori di prughjetti open-source travaglianu nantu à una basa di vuluntariu è ùn pò micca sempre risponde rapidamente à tali prublemi.
Vale a pena nutà chì Squid hè attualmente in usu in milioni di casi in u mondu.
I cunsiglii di Rogers implicanu chì ogni utilizatore deve valutà indipindentamente se Squid hè adattatu per u so sistema. Altrimenti, l'utilizatori ponu scuntrà fallimenti è risichi per a sicurità di l'infurmazioni.
Questa situazione ci ricorda à tutti l'impurtanza di aghjurnà regularmente è mantene u software sicuru. Altrimenti, cum'è Rogers enfatizà, "ùn farà micca bè".
Stu episodiu preoccupante suscita serii dumande nantu à a sicurità di i prughjetti open source è a so capacità di affruntà un flussu constante di novi vulnerabili.
Hè spertu chì i membri di a cumunità è i sviluppatori piglianu azzione immediata per affruntà sta minaccia in u futuru.
Lettera à Joshua nantu à Openwall (eng.)
Dettagli di prublemi nantu à u situ web di Joshua (eng.)
Source: linux.org.ru