Għaddew aktar minn sentejn mill-iskoperta ta '35 vulnerabbiltà fil-proxy Squid caching, u ħafna minnhom għadhom mhumiex iffissati, iwissi l-espert tas-sigurtà li l-ewwel irrapporta l-problemi.
Fi Frar 2021, l-ispeċjalista tas-sigurtà Joshua Rogers wettaq analiżi ta 'Squid u identifika 55 vulnerabbiltà fil-kodiċi tal-proġett.
Sal-lum, 20 minnhom biss ġew eliminati. Il-maġġoranza tal-vulnerabbiltajiet ma rċevewx nominazzjonijiet CVE, li jfisser li m'hemm l-ebda soluzzjoni jew rakkomandazzjonijiet uffiċjali biex jiġu eliminati. Rogers, f’ittra lill-komunità tas-sigurtà Openwall, qal li wara stennija twila, iddeċieda li jippubblika din l-informazzjoni.
Rogers iddettalja l-vulnerabbiltajiet fuq il-websajt tiegħu, u enfasizza varjetà ta 'problemi - użu ta' wara mingħajr, tnixxija tal-memorja, avvelenament tal-cache, nuqqas ta 'affermazzjoni u difetti oħra f'diversi komponenti. Fl-istess ħin, l-ispeċjalista esprima fehim għat-tim ta 'Squid, u nnota li ħafna żviluppaturi ta' proġetti open-source jaħdmu fuq bażi ta 'volontarjat u mhux dejjem jistgħu jirrispondu malajr għal problemi bħal dawn.
Ta 'min jinnota li Squid bħalissa qed jintuża f'miljuni ta' każijiet madwar id-dinja.
Ir-rakkomandazzjonijiet ta' Rogers jimplikaw li kull utent għandu jevalwa b'mod indipendenti jekk Squid huwiex adattat għas-sistema tiegħu. Inkella, l-utenti jistgħu jiltaqgħu ma' fallimenti u riskji għas-sigurtà tal-informazzjoni.
Din is-sitwazzjoni tfakkarna lkoll fl-importanza li regolarment naġġornaw u nżommu s-softwer sigur. Inkella, kif jenfasizza Rogers, "mhu se jagħmel l-ebda ġid."
Dan l-episodju inkwetanti jqajjem mistoqsijiet serji dwar is-sigurtà ta’ proġetti ta’ sors miftuħ u l-kapaċità tagħhom li jlaħħqu ma’ fluss kostanti ta’ vulnerabbiltajiet ġodda.
Huwa ttamat li l-membri tal-komunità u l-iżviluppaturi jieħdu azzjoni immedjata biex jindirizzaw din it-theddida fil-futur.
Ittra lil Joshua fuq Openwall (Ingliż)
Dettalji tal-problemi fuq il-websajt ta' Joshua (Ingliż)
Sors: linux.org.ru