Podľa osoby, ktorá ich nahlásila, 35 zraniteľností v serveri Squid caching proxy zostáva neopravených viac ako dva roky po tom, čo boli objavené a nahlásené správcom projektu s otvoreným zdrojovým kódom.
Squid je caching a forwarding HTTP web proxy Veľmi široko používaný Od poskytovateľov internetových služieb a prevádzkovateľov webových stránok. Vo februári 2021 vykonal bezpečnostný výskumník Joshua Rogers bezpečnostný audit Squid a tvrdil, že našiel 55 chýb v zdrojovom kóde C++ programu.
Rýchly posun vpred k dnešku, hovorí Rogers, a len 20 z týchto nedostatkov bolo opravených.
Prevažná väčšina nemá ani pridelené CVE a zvyšných 35, ako nám bolo povedané, stále nemá záplaty alebo riešenia na opravu dier.
„Po dva a pol roku čakania som sa rozhodol vyjsť s problémami na verejnosť,“ napísal Rogers. Mail Openwall security mailing list.
Registrovať Poslal e-mail niekoľkým vývojárom Squid uvedeným na kontaktnej stránke a nedostal okamžite odpovede na naše otázky. Keď sa o projekte dozvieme, tento príbeh aktualizujeme.
V príspevku a na svojej webovej stránke Rogers Uvedené 45 Zvyšných desať zneužiteľných bezpečnostných problémov „vyplýva z podobných, ale odlišných spôsobov reprodukcie zraniteľnosti,“ hovorí. Spúšťajú celý rozsah od aplikácie po uvoľnení, úniku pamäte, otravy vyrovnávacej pamäte, zlyhania tvrdenia a iných chýb v rôznych komponentoch.
Rogers pomenoval chyby a poskytol technické podrobnosti o zraniteľnostiach – vrátane prerušenia kódu a PoC. GitHub. Jeho webová stránka tiež uvádza 13 ďalších problémov s kódom, ktoré považuje za chyby záhradných odrôd bez bezpečnostných dôsledkov.
Rogers hovorí, že našiel všetky chyby v Squid-5.0.5 a „otestoval takmer každý komponent: dopredné proxy, reverzné proxy, všetky podporované protokoly (http, https, https intercept, urn, whois, gopher, ftp), odpovede, požiadavky, „pomocníkov“, DNS, ICAP, ESI a ukladanie do vyrovnávacej pamäte. Boli použité všetky možné používateľské a zostavovacie rámce.“
Najnovšia verzia Squid má číslo 6.3.
Tiež uznal, že správcovia Squid Proxy – ako väčšina vývojárov open source – sú väčšinou dobrovoľníci a nemajú podporu potrebnú na rýchle riešenie týchto problémov.
„Tím Squid bol nápomocný a podporný počas procesu nahlasovania týchto problémov,“ priznal Rogers. „Majú však efektívne personálne vybavenie a nemajú zdroje na to, aby odstránili zistené problémy. Zavalením ich žiadosťami o nápravu sa veľmi ďaleko nedostanú.“
Správca open source sa vyhráža, že vyhodí látku, ak sa spoločnosti neprihlásia
Musíte prečítať
Samozrejme, toto je len špička oveľa väčšieho ľadovca: Kto je zodpovedný za údržbu a podporu softvéru s otvoreným zdrojovým kódom?
V tejto situácii americká Národná bezpečnostná agentúra a priatelia prepustili v utorok List [PDF] Dôraz na podporu dodávateľov – finančnú a inú – pri softvéri s otvoreným zdrojovým kódom v prevádzkových prostrediach a pri vývoji a údržbe softvéru s otvoreným zdrojovým kódom.
Ale späť k problému: na internete je viac ako 2,5 milióna inštancií Squid (podľa Rogersa) a odporúčame prečítať si popisy zraniteľností, ak spustíte kód.
Potom, ako poznamenáva Rogers, „je na vás, aby ste prehodnotili, či je Squid tým správnym riešením pre váš systém.“ ®
Popová kultúra. Nie je možné písať so zapnutými boxerskými rukavicami. Zlý hráč. Unapologetická hudba fanatická.“
