最先報告這些問題的安全專家警告說,Squid 快取代理中發現 35 個漏洞至今已有兩年多,但大多數漏洞仍未修復。
2021 年 55 月,安全研究員 Joshua Rogers 對 Squid 進行了分析,發現專案程式碼中存在 XNUMX 個漏洞。
到目前為止,只有20個漏洞得到了修補。大部分漏洞從未獲得CVE編號,這意味著目前尚無官方修復方案或修復建議。羅傑斯在致Openwall安全社區的一封信中表示,經過漫長的等待,他決定公佈這些資訊。
羅傑斯在其網站上詳細介紹了這些漏洞,並重點介紹了各種問題,包括釋放後使用、記憶體洩漏、緩存中毒、斷言失敗以及各種組件中的其他缺陷。同時,這位專家也對 Squid 團隊表示理解,並指出許多開源開發者都是志願者,並非總是能夠及時回應此類問題。
值得注意的是,Squid 目前在全球有數百萬個實例在使用。
Rogers 的建議暗示每個使用者必須獨立評估 Squid 是否適合其係統。否則,用戶可能會遇到故障和資訊安全風險。
這種情況提醒我們所有人,保持軟體更新和安全的重要性。否則,正如羅傑斯指出的那樣,“毫無意義”。
這一令人不安的事件引發了人們對開源專案的安全性及其應對不斷出現的新漏洞的能力的嚴重質疑。
希望社區成員和開發人員能夠立即採取行動,應對未來的這項威脅。
約書亞網站上的詳細說明 (英語)
來源: linux.org.ru
