Поминаа повеќе од две години од откривањето на 35 пропусти во проксито за кеширање на Squid, а повеќето од нив сè уште не се поправени, предупредува безбедносниот експерт кој прв ги пријавил проблемите.
Во февруари 2021 година, специјалистот за безбедност Џошуа Роџерс спроведе анализа на Squid и идентификуваше 55 пропусти во кодот на проектот.
До денес, само 20 од нив се елиминирани. Поголемиот дел од ранливостите не добиле ознаки за CVE, што значи дека нема официјални поправки или препораки за нивно отстранување. Роџерс, во писмо до безбедносната заедница на Openwall, рече дека по долго чекање, решил да ја објави оваа информација.
Роџерс ги детализираше пропустите на неговата веб-страница, истакнувајќи различни проблеми - користење после бесплатно, истекување на меморија, труење со кешот, неуспех на тврдењето и други недостатоци во различни компоненти. Во исто време, специјалистот изрази разбирање за тимот на Squid, истакнувајќи дека многу развивачи на проекти со отворен код работат на волонтерска основа и не можат секогаш брзо да одговорат на ваквите проблеми.
Вреди да се напомене дека Squid моментално се користи во милиони примероци ширум светот.
Препораките на Роџерс имплицираат дека секој корисник треба самостојно да процени дали Squid е погоден за неговиот систем. Во спротивно, корисниците може да наидат на неуспеси и ризици за безбедноста на информациите.
Оваа ситуација не потсетува сите на важноста од редовно ажурирање и одржување на софтверот безбедно. Во спротивно, како што нагласува Роџерс, „тоа нема да донесе ништо добро“.
Оваа вознемирувачка епизода покренува сериозни прашања за безбедноста на проектите со отворен код и нивната способност да се справат со постојан прилив на нови пропусти.
Се надеваме дека членовите на заедницата и програмерите ќе преземат итна акција за справување со оваа закана во иднина.
Писмо до Џошуа на Openwall (инж.)
Детали за проблемите на веб-страницата на Џошуа (инж.)
Извор: linux.org.ru
