Praėjo daugiau nei dveji metai nuo tada, kai buvo aptiktos 35 „Squid“ talpyklos tarpinio serverio spragos, ir dauguma jų vis dar nepataisytos, perspėja pirmasis apie problemas pranešęs saugumo ekspertas.
2021 m. vasario mėn. saugumo specialistas Joshua Rogersas atliko Squid analizę ir nustatė 55 projekto kodo spragas.
Iki šiol tik 20 iš jų buvo panaikinti. Dauguma pažeidžiamumų nebuvo pažymėti CVE, o tai reiškia, kad nėra oficialių pataisymų ar rekomendacijų, kaip jas pašalinti. Rogersas laiške Openwall saugumo bendruomenei teigė, kad ilgai laukęs nusprendė šią informaciją paskelbti.
Rogersas išsamiai apibūdino pažeidžiamumą savo svetainėje, pabrėždamas įvairias problemas – naudojimo po atleidimo, atminties nutekėjimą, talpyklos apsinuodijimą, tvirtinimo gedimą ir kitus įvairių komponentų trūkumus. Kartu specialistas išreiškė supratimą „Squid“ komandai, pažymėdamas, kad daugelis atvirojo kodo projektų kūrėjų dirba savanoriškais pagrindais ir ne visada gali greitai reaguoti į tokias problemas.
Verta paminėti, kad Squid šiuo metu naudojamas milijonuose atvejų visame pasaulyje.
Rogerso rekomendacijose nurodoma, kad kiekvienas vartotojas turėtų savarankiškai įvertinti, ar Squid tinka jo sistemai. Priešingu atveju vartotojai gali susidurti su gedimais ir informacijos saugumo rizika.
Ši situacija mums visiems primena, kaip svarbu reguliariai atnaujinti programinę įrangą ir užtikrinti jos saugumą. Priešingu atveju, kaip pabrėžia Rogersas, „tai neduos nieko gero“.
Šis nerimą keliantis epizodas kelia rimtų klausimų apie atvirojo kodo projektų saugumą ir jų gebėjimą susidoroti su nuolatiniu naujų pažeidžiamumų srautu.
Tikimasi, kad bendruomenės nariai ir kūrėjai nedelsdami imsis veiksmų šiai grėsmei pašalinti ateityje.
Laiškas Joshua „Openwall“. (angl.)
Išsami informacija apie problemas Joshua svetainėje (angl.)
Šaltinis: linux.org.ru