Модель открытого ПО имеет свои минусы в виде несвоевременного устранения недостатков.
Более двух лет прошло с момента обнаружения 35 уязвимостей в кеширующем прокси Squid , и они до сих пор не устранены, предупреждает эксперт по безопасности, который первым сообщил о данных проблемах.
Для просмотра ссылки Войдиили Зарегистрируйся – это веб-прокси, широко используемый интернет-провайдерами и владельцами сайтов. В феврале 2021 года специалист по безопасности Джошуа Роджерс провел анализ Squid и выявил 55 уязвимостей в коде проекта.
К настоящему времени были устранены всего 20 из них. Основная часть уязвимостей так и не получила обозначений CVE, что означает отсутствие официальных исправлений или рекомендаций по их устранению. Роджерс Для просмотра ссылки Войдиили Зарегистрируйся к сообществу безопасности Openwall сказал, что после долгого ожидания он решил опубликовать эту информацию.
Роджерс Для просмотра ссылки Войдиили Зарегистрируйся на своем сайте, подчерчеркнув разнообразие проблем – использование после освобождения ( Use-After-Free ), утечка памяти ( memory leak ), отравление кэша ( cache poisoning ), ошибка утверждения ( assertion failure ) и другие недостатки в различных компонентах. При этом специалист выразил понимание к команде Squid, отметив, что многие разработчики open-source проектов работают на волонтерских началах и не всегда могут оперативно реагировать на подобные проблемы.
Инцидент поднимает вопрос о том, кто должен нести ответственность за поддержку открытого программного обеспечения. С учетом того, что в интернете функционирует более 2,5 миллионов серверов на базе Squid, Роджерс рекомендует всем, кто использует этот продукт, внимательно изучить информацию о уязвимостях и, при необходимости, пересмотреть свой выбор в пользу других решений.
Более двух лет прошло с момента обнаружения 35 уязвимостей в кеширующем прокси Squid , и они до сих пор не устранены, предупреждает эксперт по безопасности, который первым сообщил о данных проблемах.
Для просмотра ссылки Войди
К настоящему времени были устранены всего 20 из них. Основная часть уязвимостей так и не получила обозначений CVE, что означает отсутствие официальных исправлений или рекомендаций по их устранению. Роджерс Для просмотра ссылки Войди
Роджерс Для просмотра ссылки Войди
Инцидент поднимает вопрос о том, кто должен нести ответственность за поддержку открытого программного обеспечения. С учетом того, что в интернете функционирует более 2,5 миллионов серверов на базе Squid, Роджерс рекомендует всем, кто использует этот продукт, внимательно изучить информацию о уязвимостях и, при необходимости, пересмотреть свой выбор в пользу других решений.
- Источник новости
- www.securitylab.ru