Mae mwy na dwy flynedd wedi mynd heibio ers darganfod gwendidau 35 yn y dirprwy caching Squid, ac mae'r rhan fwyaf ohonynt yn dal heb eu trwsio, yn rhybuddio'r arbenigwr diogelwch a adroddodd y problemau gyntaf.
Ym mis Chwefror 2021, cynhaliodd yr arbenigwr diogelwch Joshua Rogers ddadansoddiad o Squid a nododd 55 o wendidau yng nghod y prosiect.
Hyd yn hyn, dim ond 20 ohonyn nhw sydd wedi'u dileu. Nid yw mwyafrif y gwendidau wedi derbyn dynodiadau CVE, sy'n golygu nad oes unrhyw atebion nac argymhellion swyddogol ar gyfer eu dileu. Dywedodd Rogers, mewn llythyr at gymuned ddiogelwch Openwall, ei fod wedi penderfynu cyhoeddi'r wybodaeth hon ar ôl aros yn hir.
Manylodd Rogers ar y gwendidau ar ei wefan, gan amlygu amrywiaeth o broblemau - di-ddefnydd, di-ddefnydd, cof yn gollwng, gwenwyno celc, methiant honiad a diffygion eraill mewn gwahanol gydrannau. Ar yr un pryd, mynegodd yr arbenigwr ddealltwriaeth ar gyfer tîm Squid, gan nodi bod llawer o ddatblygwyr prosiectau ffynhonnell agored yn gweithio'n wirfoddol ac na allant bob amser ymateb yn gyflym i broblemau o'r fath.
Mae'n werth nodi bod Squid yn cael ei ddefnyddio ar hyn o bryd mewn miliynau o achosion ledled y byd.
Mae argymhellion Rogers yn awgrymu y dylai pob defnyddiwr werthuso'n annibynnol a yw Squid yn addas ar gyfer eu system. Fel arall, gall defnyddwyr ddod ar draws methiannau a risgiau diogelwch gwybodaeth.
Mae'r sefyllfa hon yn ein hatgoffa ni i gyd o bwysigrwydd diweddaru'n rheolaidd a chadw meddalwedd yn ddiogel. Fel arall, fel y mae Rogers yn pwysleisio, “ni fydd yn gwneud unrhyw les.”
Mae'r bennod gythryblus hon yn codi cwestiynau difrifol am ddiogelwch prosiectau ffynhonnell agored a'u gallu i ymdopi â llif cyson o wendidau newydd.
Y gobaith yw y bydd aelodau'r gymuned a datblygwyr yn cymryd camau ar unwaith i fynd i'r afael â'r bygythiad hwn yn y dyfodol.
Llythyr at Josua ar Openwall (eng.)
Manylion problemau ar wefan Joshua (eng.)
Ffynhonnell: linux.org.ru