Lebih daripada dua tahun telah berlalu sejak penemuan 35 kelemahan dalam proksi caching Squid, dan kebanyakannya masih belum diperbaiki, memberi amaran kepada pakar keselamatan yang pertama kali melaporkan masalah tersebut.
Pada Februari 2021, pakar keselamatan Joshua Rogers menjalankan analisis Sotong dan mengenal pasti 55 kelemahan dalam kod projek.
Sehingga kini, hanya 20 daripadanya telah tersingkir. Majoriti kelemahan belum menerima penetapan CVE, yang bermaksud tiada pembetulan rasmi atau cadangan untuk menghapuskannya. Rogers, dalam surat kepada komuniti keselamatan Openwall, berkata bahawa selepas menunggu lama, dia memutuskan untuk menerbitkan maklumat ini.
Rogers memperincikan kelemahan di tapak webnya, menonjolkan pelbagai masalah - penggunaan selepas bebas, kebocoran memori, keracunan cache, kegagalan penegasan dan kelemahan lain dalam pelbagai komponen. Pada masa yang sama, pakar itu menyatakan pemahaman untuk pasukan Squid, dengan menyatakan bahawa banyak pembangun projek sumber terbuka bekerja secara sukarela dan tidak boleh sentiasa bertindak balas dengan cepat terhadap masalah tersebut.
Perlu diingat bahawa Squid kini digunakan dalam berjuta-juta contoh di seluruh dunia.
Cadangan Rogers membayangkan bahawa setiap pengguna harus menilai secara bebas sama ada Squid sesuai untuk sistem mereka. Jika tidak, pengguna mungkin menghadapi kegagalan dan risiko keselamatan maklumat.
Keadaan ini mengingatkan kita semua tentang kepentingan mengemas kini dan memastikan perisian sentiasa selamat. Jika tidak, seperti yang ditekankan oleh Rogers, "ia tidak akan mendatangkan kebaikan."
Episod yang membimbangkan ini menimbulkan persoalan serius tentang keselamatan projek sumber terbuka dan keupayaan mereka untuk menghadapi aliran kelemahan baharu yang berterusan.
Diharapkan ahli komuniti dan pemaju akan mengambil tindakan segera untuk menangani ancaman ini pada masa hadapan.
Surat kepada Joshua di Openwall (eng.)
Butiran masalah di laman web Joshua (eng.)
Sumber: linux.org.ru