Десятки уязвимостей в Squid не могут исправить уже 2,5 года

В феврале 2021 года специалист по безопасности Джошуа Роджерс провел анализ Squid и выявил 55 уязвимостей в коде проекта.

К настоящему времени были устранены всего 20 из них. Основная часть уязвимостей так и не получила обозначений CVE, что означает отсутствие официальных исправлений или рекомендаций по их устранению. Роджерс в письме к сообществу безопасности Openwall сказал, что после долгого ожидания он решил опубликовать эту информацию.

Роджерс детализировал уязвимости на своем сайте, подчерчеркнув разнообразие проблем – использование после освобождения (Use-After-Free), утечка памяти (memory leak), отравление кэша (cache poisoning), ошибка утверждения (assertion failure) и другие недостатки в различных компонентах. При этом специалист выразил понимание к команде Squid, отметив, что многие разработчики open-source проектов работают на волонтерских началах и не всегда могут оперативно реагировать на подобные проблемы.

Стоит отметить, что Squid в настоящее время используется в миллионах экземпляров по всему миру.

Рекомендации Роджерса подразумевают, что каждый пользователь должен самостоятельно оценить, подходит ли Squid для их системы. В противном случае пользователи могут столкнуться с сбоями и рисками в области информационной безопасности.

Эта ситуация напоминает всем нам о важности регулярного обновления и обеспечения безопасности программного обеспечения. В противном случае, как подчеркивает Роджерс, «толку от этого не будет».

Этот беспокойный эпизод поднимает серьезные вопросы о безопасности открытых проектов и их способности справляться с непрекращающимся потоком новых уязвимостей.

Остается надеяться, что участники сообщества и разработчики примут неотложные меры для устранения этой угрозы в будущем.

Письмо Джошуа на Openwall (англ.)

Детализация проблем на сайте Джошуа (англ.)