Plus de deux ans se sont écoulés depuis la découverte de 35 vulnérabilités dans le proxy de mise en cache Squid, et la plupart d'entre elles ne sont toujours pas corrigées, prévient l'expert en sécurité qui a été le premier à signaler les problèmes.
En février 2021, le spécialiste de la sécurité Joshua Rogers a mené une analyse de Squid et identifié 55 vulnérabilités dans le code du projet.
A ce jour, seulement 20 d’entre eux ont été éliminés. La majorité des vulnérabilités n’ont pas reçu la désignation CVE, ce qui signifie qu’il n’existe aucun correctif ni recommandation officiel pour les éliminer. Rogers, dans une lettre adressée à la communauté de sécurité d'Openwall, a déclaré qu'après une longue attente, il avait décidé de publier cette information.
Rogers a détaillé les vulnérabilités sur son site Web, mettant en évidence une variété de problèmes : utilisation après libération, fuite de mémoire, empoisonnement du cache, échec d'assertion et autres failles dans divers composants. Dans le même temps, le spécialiste a exprimé sa compréhension envers l'équipe Squid, notant que de nombreux développeurs de projets open source travaillent bénévolement et ne peuvent pas toujours répondre rapidement à de tels problèmes.
Il convient de noter que Squid est actuellement utilisé dans des millions de cas à travers le monde.
Les recommandations de Rogers impliquent que chaque utilisateur doit évaluer indépendamment si Squid convient à son système. Sinon, les utilisateurs pourraient rencontrer des pannes et des risques pour la sécurité des informations.
Cette situation nous rappelle à tous l’importance de mettre à jour régulièrement et de sécuriser les logiciels. Sinon, comme le souligne Rogers, « cela ne servira à rien ».
Cet épisode troublant soulève de sérieuses questions sur la sécurité des projets open source et leur capacité à faire face à un flux constant de nouvelles vulnérabilités.
On espère que les membres de la communauté et les développeurs prendront des mesures immédiates pour faire face à cette menace à l'avenir.
Lettre à Joshua sur Openwall (Anglais)
Détails des problèmes sur le site Web de Joshua (Anglais)
Source: linux.org.ru