Squidi vahemällu puhverserveris 35 haavatavuse avastamisest on möödas üle kahe aasta ja enamik neist on ikka veel parandamata, hoiatab probleemidest esimesena teatanud turvaekspert.
2021. aasta veebruaris viis turbespetsialist Joshua Rogers läbi Squidi analüüsi ja tuvastas projekti koodis 55 turvaauku.
Praeguseks on neist kõrvaldatud vaid 20. Enamik turvaauke ei ole saanud CVE tähistusi, mis tähendab, et nende kõrvaldamiseks pole ametlikke parandusi ega soovitusi. Rogers ütles Openwalli turvakogukonnale saadetud kirjas, et pärast pikka ootamist otsustas ta selle teabe avaldada.
Rogers kirjeldas turvaauke oma veebisaidil, tuues välja mitmesuguseid probleeme – kasutus pärast vabastamist, mäluleke, vahemälu mürgistus, kinnituse tõrge ja muud vead erinevates komponentides. Samas avaldas spetsialist Squidi meeskonna suhtes mõistvat suhtumist, märkides, et paljud avatud lähtekoodiga projektide arendajad töötavad vabatahtlikult ega suuda alati sellistele probleemidele kiiresti reageerida.
Väärib märkimist, et Squid on praegu kasutusel miljonitel juhtudel üle maailma.
Rogersi soovitused viitavad sellele, et iga kasutaja peaks iseseisvalt hindama, kas Squid sobib nende süsteemiga. Vastasel juhul võivad kasutajad kogeda tõrkeid ja infoturbe riske.
See olukord tuletab meile kõigile meelde, kui oluline on tarkvara regulaarselt värskendada ja turvaliselt hoida. Vastasel juhul, nagu Rogers rõhutab, "ei tee see midagi head".
See murettekitav episood tõstatab tõsiseid küsimusi avatud lähtekoodiga projektide turvalisuse ja nende võime kohta tulla toime pideva uute haavatavuste vooga.
Loodetakse, et kogukonna liikmed ja arendajad võtavad tulevikus selle ohuga tegelemiseks viivitamatult meetmeid.
Kiri Joshuale Openwallil (Inglise keeles)
Üksikasjad probleemide kohta Joshua veebisaidil (Inglise keeles)
Allikas: linux.org.ru