Годы бездействия: ошибки в прокси Squid могут раскрыть данные пользователей

Более двух лет прошло с момента обнаружения 35 уязвимостей в кеширующем прокси Squid , и они до сих пор не устранены, предупреждает эксперт по безопасности, который первым сообщил о данных проблемах.

Squid – это веб-прокси, широко используемый интернет-провайдерами и владельцами сайтов. В феврале 2021 года специалист по безопасности Джошуа Роджерс провел анализ Squid и выявил 55 уязвимостей в коде проекта.

К настоящему времени были устранены всего 20 из них. Основная часть уязвимостей так и не получила обозначений CVE, что означает отсутствие официальных исправлений или рекомендаций по их устранению. Роджерс в письме к сообществу безопасности Openwall сказал, что после долгого ожидания он решил опубликовать эту информацию.

Роджерс детализировал уязвимости на своем сайте, подчерчеркнув разнообразие проблем – использование после освобождения ( Use-After-Free ), утечка памяти ( memory leak ), отравление кэша ( cache poisoning ), ошибка утверждения ( assertion failure ) и другие недостатки в различных компонентах. При этом специалист выразил понимание к команде Squid, отметив, что многие разработчики open-source проектов работают на волонтерских началах и не всегда могут оперативно реагировать на подобные проблемы.

Инцидент поднимает вопрос о том, кто должен нести ответственность за поддержку открытого программного обеспечения. С учетом того, что в интернете функционирует более 2,5 миллионов серверов на базе Squid, Роджерс рекомендует всем, кто использует этот продукт, внимательно изучить информацию о уязвимостях и, при необходимости, пересмотреть свой выбор в пользу других решений.