Έχουν περάσει περισσότερα από δύο χρόνια από την ανακάλυψη 35 τρωτών σημείων στον διακομιστή μεσολάβησης προσωρινής αποθήκευσης Squid, και τα περισσότερα από αυτά δεν έχουν ακόμη επιδιορθωθεί, προειδοποιεί ο ειδικός ασφαλείας που ανέφερε πρώτος τα προβλήματα.
Τον Φεβρουάριο του 2021, ο ειδικός ασφαλείας Joshua Rogers πραγματοποίησε μια ανάλυση του Squid και εντόπισε 55 τρωτά σημεία στον κώδικα του έργου.
Μέχρι σήμερα, μόνο 20 από αυτά έχουν εξαλειφθεί. Η πλειονότητα των τρωτών σημείων δεν έχει λάβει χαρακτηρισμούς CVE, πράγμα που σημαίνει ότι δεν υπάρχουν επίσημες διορθώσεις ή συστάσεις για την εξάλειψή τους. Ο Rogers, σε επιστολή του προς την κοινότητα ασφαλείας του Openwall, είπε ότι μετά από μακρά αναμονή, αποφάσισε να δημοσιεύσει αυτές τις πληροφορίες.
Ο Rogers περιέγραψε λεπτομερώς τα τρωτά σημεία στον ιστότοπό του, επισημαίνοντας μια ποικιλία προβλημάτων - χρήση μετά την ελεύθερη χρήση, διαρροή μνήμης, δηλητηρίαση προσωρινής μνήμης, αποτυχία διαβεβαίωσης και άλλα ελαττώματα σε διάφορα στοιχεία. Ταυτόχρονα, ο ειδικός εξέφρασε κατανόηση για την ομάδα Squid, σημειώνοντας ότι πολλοί προγραμματιστές έργων ανοιχτού κώδικα εργάζονται σε εθελοντική βάση και δεν μπορούν πάντα να ανταποκριθούν γρήγορα σε τέτοια προβλήματα.
Αξίζει να σημειωθεί ότι το Squid χρησιμοποιείται αυτή τη στιγμή σε εκατομμύρια περιπτώσεις σε όλο τον κόσμο.
Οι συστάσεις του Rogers υπονοούν ότι κάθε χρήστης πρέπει να αξιολογήσει ανεξάρτητα εάν το Squid είναι κατάλληλο για το σύστημά του. Διαφορετικά, οι χρήστες ενδέχεται να αντιμετωπίσουν αστοχίες και κινδύνους για την ασφάλεια των πληροφοριών.
Αυτή η κατάσταση υπενθυμίζει σε όλους μας τη σημασία της τακτικής ενημέρωσης και διατήρησης του λογισμικού ασφαλούς. Διαφορετικά, όπως τονίζει ο Rogers, «δεν θα κάνει καλό».
Αυτό το ανησυχητικό επεισόδιο εγείρει σοβαρά ερωτήματα σχετικά με την ασφάλεια των έργων ανοιχτού κώδικα και την ικανότητά τους να αντιμετωπίζουν μια συνεχή ροή νέων τρωτών σημείων.
Ελπίζεται ότι τα μέλη της κοινότητας και οι προγραμματιστές θα λάβουν άμεσα μέτρα για την αντιμετώπιση αυτής της απειλής στο μέλλον.
Επιστολή στον Τζόσουα στο Openwall (Αγγλικά)
Λεπτομέρειες για τα προβλήματα στον ιστότοπο του Joshua (Αγγλικά)
Πηγή: linux.org.ru