Mehr als zwei Jahre sind seit der Entdeckung von 35 Schwachstellen im Cache-Proxy Squid vergangen, und die meisten davon sind nach wie vor nicht behoben, warnt ein Sicherheitsexperte, der als erster über diese Probleme berichtete.
Im Februar 2021 führte der Sicherheitsspezialist Joshua Rogers eine Analyse von Squid durch und identifizierte 55 Schwachstellen im Code des Projekts.
Bislang wurden lediglich 20 davon behoben. Die Mehrheit der Schwachstellen erhielt keine CVE-Bezeichnungen, was bedeutet, dass es weder offizielle Patches noch Empfehlungen zu deren Behebung gibt. Rogers erklärte in einem Schreiben an die Openwall-Sicherheitsgemeinschaft, dass er sich nach langer Wartezeit entschlossen habe, diese Informationen zu veröffentlichen.
Rogers hat die Schwachstellen auf seiner Website detailliert beschrieben und dabei die Vielzahl an Problemen hervorgehoben – unter anderem Use-After-Free, Speicherlecks, Cache-Poisoning, Assertionsfehler und andere Mängel in verschiedenen Komponenten. Er zeigte Verständnis für das Team von Squid und merkte an, dass viele Entwickler von Open-Source-Projekten ehrenamtlich tätig sind und nicht immer schnell auf solche Probleme reagieren können.
Es ist erwähnenswert, dass Squid derzeit weltweit in Millionen von Instanzen genutzt wird.
Rogers' Empfehlungen implizieren, dass jeder Nutzer selbst einschätzen sollte, ob Squid für sein System geeignet ist. Andernfalls könnten Nutzer auf Ausfälle und Risiken im Bereich der Informationssicherheit stoßen.
Diese Situation erinnert uns alle an die Bedeutung regelmäßiger Aktualisierungen und der Sicherheit von Software. Ansonsten, wie Rogers betont, "wird es keinen Nutzen bringen".
Dieser besorgniserregende Vorfall wirft ernsthafte Fragen zur Sicherheit von Open-Source-Projekten und deren Fähigkeit auf, mit dem unaufhörlichen Strom neuer Sicherheitslücken umzugehen.
Es bleibt zu hoffen, dass die Mitglieder der Gemeinschaft und die Entwickler dringende Maßnahmen ergreifen, um dieser Bedrohung in Zukunft zu begegnen.
Joshuas Schreiben an Openwall (engl.)
Problemdarstellung auf Joshuas Website (engl.)
Quelle: linux.org.ru
