Technológie

O 2 roky neskôr 35 bezpečnostných dier v proxy stále neopravených, teraz verejné • log

Podľa osoby, ktorá ich nahlásila, 35 zraniteľností v serveri Squid caching proxy zostáva neopravených viac ako dva roky po tom, čo boli objavené a nahlásené správcom projektu s otvoreným zdrojovým kódom.

Squid je caching a forwarding HTTP web proxy Veľmi široko používaný Od poskytovateľov internetových služieb a prevádzkovateľov webových stránok. Vo februári 2021 vykonal bezpečnostný výskumník Joshua Rogers bezpečnostný audit Squid a tvrdil, že našiel 55 chýb v zdrojovom kóde C++ programu.

Rýchly posun vpred k dnešku, hovorí Rogers, a len 20 z týchto nedostatkov bolo opravených.

Prevažná väčšina nemá ani pridelené CVE a zvyšných 35, ako nám bolo povedané, stále nemá záplaty alebo riešenia na opravu dier.

„Po dva a pol roku čakania som sa rozhodol vyjsť s problémami na verejnosť,“ napísal Rogers. Mail Openwall security mailing list.

Registrovať Poslal e-mail niekoľkým vývojárom Squid uvedeným na kontaktnej stránke a nedostal okamžite odpovede na naše otázky. Keď sa o projekte dozvieme, tento príbeh aktualizujeme.

V príspevku a na svojej webovej stránke Rogers Uvedené 45 Zvyšných desať zneužiteľných bezpečnostných problémov „vyplýva z podobných, ale odlišných spôsobov reprodukcie zraniteľnosti,“ hovorí. Spúšťajú celý rozsah od aplikácie po uvoľnení, úniku pamäte, otravy vyrovnávacej pamäte, zlyhania tvrdenia a iných chýb v rôznych komponentoch.

Rogers pomenoval chyby a poskytol technické podrobnosti o zraniteľnostiach – vrátane prerušenia kódu a PoC. GitHub. Jeho webová stránka tiež uvádza 13 ďalších problémov s kódom, ktoré považuje za chyby záhradných odrôd bez bezpečnostných dôsledkov.

Rogers hovorí, že našiel všetky chyby v Squid-5.0.5 a „otestoval takmer každý komponent: dopredné proxy, reverzné proxy, všetky podporované protokoly (http, https, https intercept, urn, whois, gopher, ftp), odpovede, požiadavky, „pomocníkov“, DNS, ICAP, ESI a ukladanie do vyrovnávacej pamäte. Boli použité všetky možné používateľské a zostavovacie rámce.“

READ  Vyvažovanie logiky a rozumu s mágiou a intuíciou

Najnovšia verzia Squid má číslo 6.3.

Tiež uznal, že správcovia Squid Proxy – ako väčšina vývojárov open source – sú väčšinou dobrovoľníci a nemajú podporu potrebnú na rýchle riešenie týchto problémov.

„Tím Squid bol nápomocný a podporný počas procesu nahlasovania týchto problémov,“ priznal Rogers. „Majú však efektívne personálne vybavenie a nemajú zdroje na to, aby odstránili zistené problémy. Zavalením ich žiadosťami o nápravu sa veľmi ďaleko nedostanú.“

Správca open source sa vyhráža, že vyhodí látku, ak sa spoločnosti neprihlásia

Musíte prečítať

Samozrejme, toto je len špička oveľa väčšieho ľadovca: Kto je zodpovedný za údržbu a podporu softvéru s otvoreným zdrojovým kódom?

V tejto situácii americká Národná bezpečnostná agentúra a priatelia prepustili v utorok List [PDF] Dôraz na podporu dodávateľov – finančnú a inú – pri softvéri s otvoreným zdrojovým kódom v prevádzkových prostrediach a pri vývoji a údržbe softvéru s otvoreným zdrojovým kódom.

Ale späť k problému: na internete je viac ako 2,5 milióna inštancií Squid (podľa Rogersa) a odporúčame prečítať si popisy zraniteľností, ak spustíte kód.

Potom, ako poznamenáva Rogers, „je na vás, aby ste prehodnotili, či je Squid tým správnym riešením pre váš systém.“ ®

Related Articles

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Back to top button
Close
Close