Méi wéi zwee Joer sinn zënter der Entdeckung vu 35 Schwachstelle am Squid Caching Proxy vergaangen, an déi meescht vun hinnen sinn nach ëmmer net fixéiert, warnt de Sécherheetsexpert, deen d'éischt d'Problemer gemellt huet.
Am Februar 2021 huet de Sécherheetsspezialist Joshua Rogers eng Analyse vum Squid gemaach an 55 Schwachstelle am Code vum Projet identifizéiert.
Bis haut sinn nëmmen 20 vun hinnen eliminéiert ginn. D'Majoritéit vun de Schwachstelle huet keng CVE Bezeechnungen kritt, dat heescht datt et keng offiziell Fixer oder Empfehlungen fir se ze eliminéieren. De Rogers, an engem Bréif un d'Openwall Sécherheetsgemeinschaft, huet gesot datt hien no laanger Waarde decidéiert huet dës Informatioun ze publizéieren.
De Rogers huet d'Schwieregkeeten op senger Websäit detailléiert, a verschidde Probleemer beliicht - Notzung no-gratis, Gedächtnisleck, Cache Vergëftung, Behaaptungsfehler an aner Mängel a verschiddene Komponenten. Zur selwechter Zäit huet de Spezialist Verständnis fir d'Squid-Team ausgedréckt, bemierkt datt vill Entwéckler vun Open-Source-Projeten op fräiwëlleger Basis schaffen a kënnen net ëmmer séier op esou Probleemer reagéieren.
Et ass derwäert ze notéieren datt Squid de Moment a Millioune Fäll weltwäit benotzt gëtt.
Dem Rogers seng Empfehlungen implizéieren datt all Benotzer onofhängeg sollt evaluéieren ob Squid fir hire System gëeegent ass. Soss kënnen d'Benotzer Feeler an Informatiounssécherheetsrisiken begéinen.
Dës Situatioun erënnert eis all un d'Wichtegkeet vun der regelméisseger Aktualiséierung an der Software sécher ze halen. Soss, wéi de Rogers betount, "et wäert näischt gutt maachen."
Dës beonrouegend Episod stellt sérieux Froen iwwer d'Sécherheet vun Open Source Projeten an hir Fäegkeet fir mat engem konstante Stroum vun neie Schwachstelle ze këmmeren.
Et gëtt gehofft datt Gemeinschaftsmemberen an Entwéckler direkt Handlunge maache fir dës Bedrohung an Zukunft unzegoen.
Bréif un de Joshua op Openwall (Englesch)
Detailer vu Problemer op Joshua senger Websäit (Englesch)
Source: linux.org.ru