Squid кэш проксисинде 35 кемчилик табылгандан бери эки жылдан ашык убакыт өттү жана алардын көбү дагы эле оңдолбой жатат, деп эскертет көйгөйлөрдү биринчи жолу билдирген коопсуздук боюнча эксперт.
2021-жылдын февраль айында коопсуздук боюнча адис Жошуа Роджерс Squidге анализ жүргүзүп, долбоордун кодунан 55 алсыз жерди аныктаган.
Бүгүнкү күндө алардын 20сы гана жоюлган. Көпчүлүк алсыздыктар CVE белгилерин алышкан эмес, бул аларды жоюу боюнча расмий оңдоолор же сунуштар жок дегенди билдирет. Роджерс Openwall коопсуздук коомчулугуна жазган катында көпкө күткөндөн кийин бул маалыматты жарыялоону чечкенин айтты.
Роджерс өзүнүн сайтындагы аялуу жерлерди кеңири айтып, ар кандай көйгөйлөрдү - боштондуктан кийин колдонуу, эстутумдун агып кетиши, кэштин уулануусу, ырастоонун катасы жана ар кандай компоненттердеги башка кемчиликтерди баса белгиледи. Ошол эле учурда адис Squid командасына түшүнүү менен мамиле кылып, ачык булактуу долбоорлордун көптөгөн иштеп чыгуучулары ыктыярдуу негизде иштешерин жана мындай көйгөйлөргө ар дайым тез жооп бере албастыгын белгиледи.
Белгилей кетсек, Squid учурда дүйнө жүзү боюнча миллиондогон инстанцияларда колдонулат.
Роджерстин сунуштары ар бир колдонуучу Squid алардын тутумуна ылайыктуу экендигин өз алдынча баалашы керек дегенди билдирет. Болбосо, колдонуучулар каталарга жана маалымат коопсуздугу коркунучуна дуушар болушу мүмкүн.
Бул жагдай бизге программалык камсыздоону үзгүлтүксүз жаңыртуу жана коопсуз сактоо маанилүүлүгүн эскертет. Болбосо, Роджерс баса белгилегендей, "бул эч кандай жакшылыкка алып келбейт".
Бул тынчсыздандырган эпизод ачык булак долбоорлорунун коопсуздугу жана алардын жаңы алсыздыктардын тынымсыз агымы менен күрөшүү жөндөмдүүлүгү жөнүндө олуттуу суроолорду жаратат.
Коомчулуктун мүчөлөрү жана иштеп чыгуучулар келечекте бул коркунучту жоюу үчүн тез арада чара көрүшөт деп үмүттөнөбүз.
Openwallдагы Жошуага кат (Анг.)
Жашыянын веб-сайтында көйгөйлөрдүн чоо-жайы (Анг.)
Source: linux.org.ru
