Bezpečnostní expert, který problémy nahlásil jako první, varuje, že od objevení 35 zranitelností v mezipaměti proxy Squid uplynuly více než dva roky a většina z nich stále nebyla opravena.
V únoru 2021 bezpečnostní výzkumník Joshua Rogers analyzoval Squid a identifikoval 55 zranitelností v kódu projektu.
Doposud jich bylo opraveno pouze 20. Většina zranitelností nikdy neobdržela označení CVE, což znamená, že neexistují žádné oficiální záplaty ani doporučení pro jejich zmírnění. Rogers v dopise bezpečnostní komunitě Openwall uvedl, že po dlouhém čekání se rozhodl tyto informace zveřejnit.
Rogers na svých webových stránkách podrobně popsal zranitelnosti a zdůraznil řadu problémů – použití po uvolnění paměti, únik paměti, otravu mezipaměti, selhání assertion a další chyby v různých komponentách. Vyjádřil také soucit týmu Squid s tím, že mnoho vývojářů open-source programů pracuje na dobrovolnické bázi a ne vždy je možné na takové problémy rychle reagovat.
Za zmínku stojí, že Squid se v současné době používá v milionech případů po celém světě.
Rogersova doporučení naznačují, že by si každý uživatel měl samostatně posoudit, zda je Squid pro jeho systém vhodný. Jinak se uživatelé mohou setkat s chybami a riziky v oblasti bezpečnosti informací.
Tato situace nám všem připomíná důležitost pravidelné aktualizace a údržby zabezpečení softwaru. Jinak, jak zdůrazňuje Rogers, „to k ničemu nebude“.
Tato znepokojivá epizoda vyvolává vážné otázky ohledně bezpečnosti open source projektů a jejich schopnosti vyrovnat se s neustálým proudem nových zranitelností.
Doufá se, že členové komunity a vývojáři v budoucnu podniknou okamžité kroky k řešení této hrozby.
Dopis Joshuovi na Openwallu (angl.)
Podrobný popis problémů na webových stránkách Joshuy (angl.)
Zdroj: linux.org.ru
