Аз кашфи 35 осебпазирӣ дар прокси кэшкунии Squid беш аз ду сол гузашт ва аксари онҳо то ҳол ислоҳ нашудаанд, ҳушдор медиҳад коршиноси амниятӣ, ки бори аввал дар бораи мушкилот гузориш додааст.
Дар моҳи феврали соли 2021, мутахассиси амният Ҷошуа Роҷерс Squid-ро таҳлил карда, 55 осебпазириро дар коди лоиҳа муайян кард.
То имруз хамагй 20-тои онхо бартараф карда шудааст. Аксарияти осебпазириҳо нишондодҳои CVE-ро нагирифтаанд, ки ин маънои онро дорад, ки ислоҳи расмӣ ё тавсияҳо барои бартараф кардани онҳо вуҷуд надорад. Роҷерс дар як нома ба ҷомеаи амниятии Openwall гуфтааст, ки пас аз интизории тӯлонӣ тасмим гирифт, ки ин маълумотро нашр кунад.
Роҷерс осебпазириро дар вебсайти худ муфассал шарҳ дода, мушкилоти гуногунро қайд кард - истифодаи пас аз озод, ихроҷи хотира, заҳролудшавии кэш, нокомии тасдиқ ва дигар камбудиҳо дар ҷузъҳои гуногун. Ҳамзамон, мутахассис барои дастаи Squid изҳори фаҳмиш карда, қайд кард, ки бисёре аз таҳиягарони лоиҳаҳои кушодаасос дар асоси ихтиёрӣ кор мекунанд ва наметавонанд ҳамеша ба чунин мушкилот зуд ҷавоб диҳанд.
Қобили зикр аст, ки Squid ҳоло дар миллионҳо мавридҳо дар саросари ҷаҳон истифода мешавад.
Тавсияҳои Роҷерс маънои онро доранд, ки ҳар як корбар бояд мустақилона арзёбӣ кунад, ки оё Squid барои системаи онҳо мувофиқ аст. Дар акси ҳол, корбарон метавонанд ба нокомиҳо ва хатарҳои амнияти иттилоотӣ дучор шаванд.
Ин вазъият ба мо хотиррасон мекунад, ки мунтазам навсозӣ ва бехатар нигоҳ доштани нармафзор муҳим аст. Дар акси ҳол, чунон ки Роҷерс таъкид мекунад, "ин ҳеҷ фоидае нахоҳад овард."
Ин эпизоди ташвишовар саволҳои ҷиддиро дар бораи амнияти лоиҳаҳои кушодаасос ва қобилияти онҳо барои мубориза бо ҷараёни доимии осебпазириҳои нав ба миён меорад.
Умед аст, ки аъзоёни ҷомеа ва таҳиягарон барои рафъи ин таҳдид дар оянда чораҳои фаврӣ андешанд.
Мактуб ба Ҷошуа дар Openwall (англисӣ)
Тафсилоти мушкилот дар вебсайти Ҷошуа (англисӣ)
Манбаъ: linux.org.ru
