Zaidi ya miaka miwili imepita tangu udhaifu 35 kugunduliwa katika proksi ya uhifadhi wa Squid, na nyingi bado hazijatiwa viraka, anaonya mtaalamu wa usalama ambaye aliripoti masuala hayo kwanza.
Mnamo Februari 2021, mtafiti wa usalama Joshua Rogers alichanganua Squid na kubaini udhaifu 55 katika msimbo wa mradi.
Kufikia sasa, ni 20 tu kati yao wametiwa viraka. Udhaifu mwingi haujawahi kupokea majina ya CVE, kumaanisha kuwa hakuna viraka rasmi au mapendekezo ya kupunguza yao. Rogers, katika barua kwa jumuiya ya usalama ya Openwall, alisema kuwa baada ya kusubiri kwa muda mrefu, aliamua kuchapisha habari hii.
Rogers alielezea udhaifu kwenye tovuti yake, akiangazia masuala mbalimbali—kutumia baada ya bure, uvujaji wa kumbukumbu, sumu ya kache, kutofaulu kwa madai, na dosari zingine katika vipengele mbalimbali. Pia alionyesha huruma kwa timu ya Squid, akibainisha kuwa watengenezaji wengi wa chanzo-wazi hufanya kazi kwa kujitolea na hawawezi kujibu mara moja kwa masuala kama haya.
Inafaa kukumbuka kuwa Squid kwa sasa inatumika katika mamilioni ya matukio ulimwenguni kote.
Mapendekezo ya Rogers yanapendekeza kwamba kila mtumiaji anapaswa kutathmini kwa kujitegemea ikiwa Squid inafaa kwa mfumo wao. Vinginevyo, watumiaji wanaweza kukutana na kushindwa na hatari za usalama wa habari.
Hali hii inatukumbusha sote umuhimu wa kusasisha na kudumisha usalama wa programu mara kwa mara. Vinginevyo, kama Rogers anasisitiza, "haitafaa chochote."
Kipindi hiki cha kutatanisha kinazua maswali mazito kuhusu usalama wa miradi ya programu huria na uwezo wao wa kukabiliana na mfululizo wa mara kwa mara wa udhaifu mpya.
Inatarajiwa kwamba wanajamii na wasanidi watachukua hatua mara moja kushughulikia tishio hili katika siku zijazo.
Barua kwa Joshua kwenye Openwall (eng.)
Inaelezea masuala kwenye tovuti ya Joshua (eng.)
Chanzo: linux.org.ru
