Ir-riżultati ta' verifika indipendenti tas-sigurtà tas-server proxy ta' caching miftuħ Squid, li sar fl-2021, ġew ippubblikati. Matul l-ispezzjoni tal-bażi tal-kodiċi tal-proġett, ġew identifikati 55 vulnerabbiltà, li minnhom 35 problema għadhom ma ġewx iffissati mill-iżviluppaturi (0-day). L-iżviluppaturi ta' Squid ġew notifikati bil-problemi sentejn u nofs ilu, iżda qatt ma temmew ix-xogħol biex jirranġawhom. Fl-aħħar mill-aħħar, l-awtur tal-verifika ddeċieda li jiżvela l-informazzjoni mingħajr ma jistenna li l-problemi kollha jiġu kkoreġuti u nnotifika lill-iżviluppaturi Squid dwarha minn qabel.
Fost il-vulnerabbiltajiet identifikati:
- Swir tal-munzell fl-implimentazzjoni tal-Awtentikazzjoni Digest iseħħ meta l-header HTTP tal-Proxy-Authorization jiġi pproċessat bil-valur tal-qasam Digest nc kbir wisq.
- Aċċess għall-memorja wara li tiġi meħlusa fi proċessur ta' query bil-metodu TRACE.
- Aċċess għall-memorja wara l-ħelsien meta tipproċessa talbiet HTTP b'header "Firxa" (CVE-2021-31807).
- Stack overflow meta tipproċessa l-header HTTP X-Forwarded-For.
- Stack overflow meta tipproċessa mistoqsijiet b'biċċiet.
- Aċċess għall-memorja wara li tiġi meħlusa fl-interface web CacheManager.
- Integer overflow fil-handler tal-header HTTP Range (CVE-2021-31808).
- Aċċess għall-memorja wara ħelsien u buffer overflow fl-ESI (Edge Side Includes) expression handler.
- Bosta tnixxijiet tal-memorja, buffer overruns waqt il-qari, u problemi li jwasslu għal ħabtiet.
Sors: opennet.ru
