Sorunları ilk bildiren güvenlik uzmanı, Squid önbellekleme proxy'sindeki 35 güvenlik açığının keşfedilmesinden bu yana iki yıldan fazla zaman geçtiğini ve bunların çoğunun hâlâ düzeltilmediğini söylüyor.
Şubat 2021'de güvenlik uzmanı Joshua Rogers, Squid üzerinde bir analiz gerçekleştirdi ve projenin kodunda 55 güvenlik açığı tespit etti.
Şu ana kadar bunlardan sadece 20'si elendi. Güvenlik açıklarının çoğuna CVE tanımı verilmemiştir; bu da bunların ortadan kaldırılmasına yönelik resmi bir düzeltme veya önerinin olmadığı anlamına gelir. Rogers, Openwall güvenlik topluluğuna yazdığı bir mektupta, uzun bir bekleyişin ardından bu bilgiyi yayınlamaya karar verdiğini söyledi.
Rogers, web sitesindeki güvenlik açıklarını ayrıntılı olarak açıkladı ve çeşitli sorunların altını çizdi: serbest kullanım, bellek sızıntısı, önbellek zehirlenmesi, iddia başarısızlığı ve çeşitli bileşenlerdeki diğer kusurlar. Aynı zamanda uzman, Squid ekibine olan anlayışını dile getirerek, birçok açık kaynaklı proje geliştiricisinin gönüllü olarak çalıştığını ve bu tür sorunlara her zaman hızlı bir şekilde yanıt veremediğini belirtti.
Squid'in şu anda dünya çapında milyonlarca örnekte kullanıldığını belirtmekte fayda var.
Rogers'ın tavsiyeleri, her kullanıcının Squid'in kendi sistemlerine uygun olup olmadığını bağımsız olarak değerlendirmesi gerektiği anlamına geliyor. Aksi takdirde kullanıcılar arızalarla ve bilgi güvenliği riskleriyle karşı karşıya kalabilirler.
Bu durum hepimize yazılımları düzenli olarak güncellemenin ve güvende tutmanın önemini hatırlatıyor. Aksi takdirde Rogers'ın da vurguladığı gibi "hiçbir faydası olmaz."
Bu sıkıntılı olay, açık kaynak projelerinin güvenliği ve sürekli yeni güvenlik açıklarıyla başa çıkma yetenekleri hakkında ciddi soruları gündeme getiriyor.
Topluluk üyelerinin ve geliştiricilerin gelecekte bu tehdide karşı derhal harekete geçeceği umulmaktadır.
Openwall'da Joshua'ya mektup (İngilizce)
Joshua'nın web sitesindeki sorunların ayrıntıları (İngilizce)
Kaynak: linux.org.ru
