Mer enn to år har gått siden oppdagelsen av 35 sårbarheter i Squid-caching-proxyen, og de fleste av dem er fortsatt ikke fikset, advarer sikkerhetseksperten som først rapporterte problemene.
I februar 2021 gjennomførte sikkerhetsspesialist Joshua Rogers en analyse av Squid og identifiserte 55 sårbarheter i prosjektets kode.
Til dags dato er bare 20 av dem eliminert. Flertallet av sårbarhetene har ikke mottatt CVE-betegnelser, noe som betyr at det ikke finnes noen offisielle rettelser eller anbefalinger for å eliminere dem. Rogers sa i et brev til Openwall-sikkerhetsfellesskapet at han etter lang ventetid bestemte seg for å publisere denne informasjonen.
Rogers beskrev sårbarhetene på nettstedet sitt, og fremhevet en rekke problemer - bruk etter-fri, minnelekkasje, cacheforgiftning, påstandsfeil og andre feil i forskjellige komponenter. Samtidig uttrykte spesialisten forståelse for Squid-teamet, og bemerket at mange utviklere av åpen kildekode-prosjekter jobber på frivillig basis og ikke alltid kan reagere raskt på slike problemer.
Det er verdt å merke seg at Squid for tiden er i bruk i millioner av tilfeller rundt om i verden.
Rogers anbefalinger innebærer at hver bruker uavhengig bør vurdere om Squid er egnet for deres system. Ellers kan brukere støte på feil og informasjonssikkerhetsrisikoer.
Denne situasjonen minner oss alle om viktigheten av å regelmessig oppdatere og holde programvare sikker. Ellers, som Rogers understreker, "vil det ikke gjøre noe godt."
Denne urovekkende episoden reiser alvorlige spørsmål om sikkerheten til åpen kildekode-prosjekter og deres evne til å takle en konstant strøm av nye sårbarheter.
Det er å håpe at fellesskapsmedlemmer og utviklere vil ta umiddelbare tiltak for å møte denne trusselen i fremtiden.
Brev til Joshua på Openwall (Engelsk)
Detaljer om problemer på Joshuas nettside (Engelsk)
Kilde: linux.org.ru
