Десятки уязвимостей в Squid не могут исправить уже 2,5 года
Более двух лет прошло с момента обнаружения 35 уязвимостей в кеширующем прокси Squid, и большинство из них до сих пор не устранено, предупреждает эксперт по безопасности, который первым сообщил о данных проблемах.
В феврале 2021 года специалист по безопасности Джошуа Роджерс провел анализ Squid и выявил 55 уязвимостей в коде проекта.
К настоящему времени были устранены всего 20 из них. Основная часть уязвимостей так и не получила обозначений CVE, что означает отсутствие официальных исправлений или рекомендаций по их устранению. Роджерс в письме к сообществу безопасности Openwall сказал, что после долгого ожидания он решил опубликовать эту информацию.
Роджерс детализировал уязвимости на своем сайте, подчерчеркнув разнообразие проблем — использование после освобождения (Use-After-Free), утечка памяти (memory leak), отравление кэша (cache poisoning), ошибка утверждения (assertion failure) и другие недостатки в различных компонентах. При этом специалист выразил понимание к команде Squid, отметив, что многие разработчики open-source проектов работают на волонтерских началах и не всегда могут оперативно реагировать на подобные проблемы.
Стоит отметить, что Squid в настоящее время используется в миллионах экземпляров по всему миру.
Рекомендации Роджерса подразумевают, что каждый пользователь должен самостоятельно оценить, подходит ли Squid для их системы. В противном случае пользователи могут столкнуться с сбоями и рисками в области информационной безопасности.
Эта ситуация напоминает всем нам о важности регулярного обновления и обеспечения безопасности программного обеспечения. В противном случае, как подчеркивает Роджерс, «толку от этого не будет».
Этот беспокойный эпизод поднимает серьезные вопросы о безопасности открытых проектов и их способности справляться с непрекращающимся потоком новых уязвимостей.
Остается надеяться, что участники сообщества и разработчики примут неотложные меры для устранения этой угрозы в будущем.
Письмо Джошуа на Openwall (англ.)
Детализация проблем на сайте Джошуа (англ.)
>>> Подробности (securitylab.ru)