Több mint két év telt el a Squid caching proxy 35 sérülékenységének felfedezése óta, és ezek többségét még mindig nem javították ki – figyelmeztet a problémákat elsőként jelentő biztonsági szakértő.
2021 februárjában Joshua Rogers biztonsági szakértő elvégezte a Squid elemzését, és 55 sebezhetőséget azonosított a projekt kódjában.
A mai napig csak 20-at szüntették meg közülük. A sérülékenységek többsége nem kapott CVE-jelölést, ami azt jelenti, hogy nincsenek hivatalos javítások vagy ajánlások a kiküszöbölésükre. Rogers az Openwall biztonsági közösségnek írt levelében elmondta, hogy hosszú várakozás után úgy döntött, hogy közzéteszi ezt az információt.
Rogers részletesen ismertette a sebezhetőséget a honlapján, kiemelve számos problémát – használat utáni felszabadítást, memóriaszivárgást, gyorsítótár-mérgezést, állítási hibákat és a különböző összetevők egyéb hibáit. A szakember ugyanakkor megértését fejezte ki a Squid csapata iránt, megjegyezve, hogy a nyílt forráskódú projektek sok fejlesztője önkéntes alapon dolgozik, és nem mindig tudnak gyorsan reagálni az ilyen problémákra.
Érdemes megjegyezni, hogy a Squid jelenleg több millió példányban használatos szerte a világon.
Rogers ajánlásai azt jelentik, hogy minden felhasználónak önállóan kell értékelnie, hogy a Squid megfelelő-e a rendszeréhez. Ellenkező esetben a felhasználók meghibásodásokkal és információbiztonsági kockázatokkal szembesülhetnek.
Ez a helyzet mindannyiunkat emlékeztet a szoftverek rendszeres frissítésének és biztonságának megőrzésének fontosságára. Ellenkező esetben, ahogy Rogers hangsúlyozza, „nem tesz jót”.
Ez a nyugtalanító epizód komoly kérdéseket vet fel a nyílt forráskódú projektek biztonságával, valamint azzal kapcsolatban, hogy képesek-e megbirkózni az új sérülékenységek folyamatos áramlásával.
Remélhetőleg a közösség tagjai és a fejlesztők azonnali lépéseket tesznek e veszély leküzdésére a jövőben.
Levél Joshuának az Openwallon (Eng.)
A problémák részletei Joshua honlapján (Eng.)
Forrás: linux.org.ru