Yli kaksi vuotta on kulunut siitä, kun Squid-välimuistipalvelimessa löydettiin 35 haavoittuvuutta, ja suurinta osaa niistä ei ole vieläkään korjattu, varoittaa ongelmista ensimmäisenä raportoinut tietoturva-asiantuntija.
Helmikuussa 2021 tietoturva-asiantuntija Joshua Rogers suoritti Squid-analyysin ja tunnisti 55 haavoittuvuutta projektin koodista.
Tähän mennessä vain 20 niistä on eliminoitu. Suurin osa haavoittuvuuksista ei ole saanut CVE-merkintöjä, mikä tarkoittaa, että virallisia korjauksia tai suosituksia niiden poistamiseksi ei ole. Rogers sanoi kirjeessään Openwallin tietoturvayhteisölle, että pitkän odotuksen jälkeen hän päätti julkaista nämä tiedot.
Rogers kertoi haavoittuvuuksista verkkosivuillaan ja korosti useita ongelmia - käytön jälkeinen käyttö, muistivuoto, välimuistin myrkytys, väitevirhe ja muita puutteita eri osissa. Samanaikaisesti asiantuntija ilmaisi ymmärtävänsä Squid-tiimiä ja huomautti, että monet avoimen lähdekoodin projektien kehittäjät työskentelevät vapaaehtoisvoimin eivätkä pysty aina reagoimaan nopeasti tällaisiin ongelmiin.
On syytä huomata, että Squid on tällä hetkellä käytössä miljoonissa tapauksissa ympäri maailmaa.
Rogersin suositusten mukaan jokaisen käyttäjän tulee arvioida itsenäisesti, sopiiko Squid heidän järjestelmäänsä. Muuten käyttäjät voivat kohdata vikoja ja tietoturvariskejä.
Tämä tilanne muistuttaa meitä kaikkia siitä, kuinka tärkeää on päivittää ohjelmistot säännöllisesti ja pitää se suojattuna. Muuten, kuten Rogers korostaa, "se ei tee mitään hyvää".
Tämä huolestuttava jakso herättää vakavia kysymyksiä avoimen lähdekoodin projektien turvallisuudesta ja niiden kyvystä selviytyä jatkuvasta uusien haavoittuvuuksien virtauksesta.
Yhteisön jäsenten ja kehittäjien toivotaan ryhtyvän välittömiin toimiin tämän uhan torjumiseksi tulevaisuudessa.
Kirje Joshualle Openwallissa (Eng.)
Yksityiskohdat ongelmista Joshuan verkkosivuilla (Eng.)
Lähde: linux.org.ru