LINUX.ORG.RU

Десятки уязвимостей в Squid не могут исправить уже 2,5 года

 ,


0

3

Более двух лет прошло с момента обнаружения 35 уязвимостей в кеширующем прокси Squid, и большинство из них до сих пор не устранено, предупреждает эксперт по безопасности, который первым сообщил о данных проблемах.

В феврале 2021 года специалист по безопасности Джошуа Роджерс провел анализ Squid и выявил 55 уязвимостей в коде проекта.

К настоящему времени были устранены всего 20 из них. Основная часть уязвимостей так и не получила обозначений CVE, что означает отсутствие официальных исправлений или рекомендаций по их устранению. Роджерс в письме к сообществу безопасности Openwall сказал, что после долгого ожидания он решил опубликовать эту информацию.

Роджерс детализировал уязвимости на своем сайте, подчерчеркнув разнообразие проблем – использование после освобождения (Use-After-Free), утечка памяти (memory leak), отравление кэша (cache poisoning), ошибка утверждения (assertion failure) и другие недостатки в различных компонентах. При этом специалист выразил понимание к команде Squid, отметив, что многие разработчики open-source проектов работают на волонтерских началах и не всегда могут оперативно реагировать на подобные проблемы.

Стоит отметить, что Squid в настоящее время используется в миллионах экземпляров по всему миру.

Рекомендации Роджерса подразумевают, что каждый пользователь должен самостоятельно оценить, подходит ли Squid для их системы. В противном случае пользователи могут столкнуться со сбоями и рисками в области информационной безопасности.

Эта ситуация напоминает всем нам о важности регулярного обновления и обеспечения безопасности программного обеспечения. В противном случае, как подчеркивает Роджерс, «толку от этого не будет».

Этот беспокойный эпизод поднимает серьезные вопросы о безопасности открытых проектов и их способности справляться с непрекращающимся потоком новых уязвимостей.

Остается надеяться, что участники сообщества и разработчики примут неотложные меры для устранения этой угрозы в будущем.

Письмо Джошуа на Openwall (англ.)

Детализация проблем на сайте Джошуа (англ.)

>>> Подробности (securitylab.ru)



Проверено: hobbit ()
Последнее исправление: Virtuos86 (всего исправлений: 4)
Ответ на: комментарий от cumvillain

Зачем тебе https-то?

А почему нет? Это хороший дефолт, проблем он не вызывает (настроить Let’s Encrypt занимает 5 минут), но при этом спасает от головной боли очень часто.

Это как с шифрованием диска в другом треде: бесплатно, минусов нет, есть пачка плюсов.

hateyoufeel ★★★★★
()
Ответ на: комментарий от cumvillain

Здесь это скорее бонус, который по большей части никто не использует.

А потом у тебя обновление падает, потому что провайдер-мудак решил насовать тебе рекламы в HTTP-трафик :DDDDDDD

hateyoufeel ★★★★★
()

Там уязвимости уровня маняспектра и манядавна, которые можно поюзать только при физическом доступе к машине?

harbinger
()
Ответ на: комментарий от cumvillain

кешировать

Не всем нужно кеширование. Есть кеш в браузере. Ну и да, от кеша без механизма инвалидации больше проблем чем пользы.

eternal_sorrow ★★★★★
()
Последнее исправление: eternal_sorrow (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

А потом у тебя обновление падает, потому что провайдер-мудак решил насовать тебе рекламы в HTTP-трафик :DDDDDDD

Или обновление падает потому что кто-то опять облажался с сертификатами.

cumvillain
()
Ответ на: комментарий от eternal_sorrow

Не всем нужно кеширование.

Не используй.

Есть кеш в браузере.

Это другое.

Ну и да, от кеша без механизма инвалидации больше проблем чем пользы.

Конечно, поэтому он там есть.

cumvillain
()
Ответ на: комментарий от kott

кстати, он достаточно хорошо работает как кэш для картинок и т.п.
понимаю, что сейчас это не очень актуально когда ты потребитель, зато пипец как актуально когда ты «изготовитель».:)

mumpster ★★★★★
()
Ответ на: комментарий от eternal_sorrow

tls-terminator

«мне нужны твои ключи, данные и CVV»

mumpster ★★★★★
()
Ответ на: комментарий от hateyoufeel

в порядке бреда (не Пита)

скорее всего ты - из РФ - и оня тя зобанели!

а про http они забыли что он есть )))

mumpster ★★★★★
()
Ответ на: комментарий от cumvillain

А потом у тебя обновление падает, потому что провайдер-мудак решил насовать тебе рекламы в HTTP-трафик :DDDDDDD

Или обновление падает потому что кто-то опять облажался с сертификатами.

Если линуксовые админы не осилили acmebot, то стоит ли им доверять держать зеркало в принципе?

hateyoufeel ★★★★★
()
Ответ на: комментарий от hateyoufeel

Если линуксовые админы не осилили acmebot, то стоит ли им доверять держать зеркало в принципе?

Я думаю это все не очень важно, потому что в 99% случаев просто насрать.

cumvillain
()
Ответ на: комментарий от cumvillain

Не используй.

Я и не использую. Но прокси, терминирующий TLS это большое зло. Уж лучше отказаться от кеширования, чем терминировать TLS.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Если у тебя большой одной билдмашины, проще покешировать в одном месте.

cumvillain
()
Ответ на: комментарий от cumvillain

Как это все относится к задаче кеширования пакетов для билдсервера? :D

Никак, но в изначальном сообщении, на которое я отвечал

Это прокатит для чего угодно, nginx прекрасно работает tls-терминатором с обеих сторон.

речь не шла ни о каком билдсервере.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от cumvillain

У меня nginx кеширует пакеты для билд-сервера.

О, вот оно. Человек, лолировавший с кэширования веб-сервером, оказывается, сам кэширует вебсервером.

То есть ну явно же не дурак, но зачем-то притворялся, вводил в заблуждение.

thesis ★★★★★
()
Ответ на: комментарий от cumvillain

Да хрен с ней, конечно.
Практически одинаковые точки зрения на один и тот же вопрос - совершенно не препятствие для посраться на ЛОРе.

thesis ★★★★★
()
Ответ на: комментарий от hateyoufeel

Вот это обсосы

Нет, просто ты дураковат.

Безусловная замена https вместо http (тем более в задаче «раздача больших файлов веб-сервером») - это ~ +25% к потреблению энергии сервером. В apt пакеты проверяются при скачивании другим механизмом, https там оверхед и банально не нужен.

Dimez ★★★★★
()
Последнее исправление: Dimez (всего исправлений: 1)
Ответ на: комментарий от Dimez

Ну будем честны, у них там явно не полный ДЦ забитый серверами. И вряд ли они платят за электричество больше в пределах выданного на сервер бюджета.

cumvillain
()
Ответ на: комментарий от cumvillain

внимание внимание! в любом программном обеспечении есть уязвимости!

вот я только что сделал во много раз больше, чем этот чел, я предупредил о всех уязвимостях во всех программах.

bernd ★★★★★
()
Ответ на: комментарий от Dimez

Безусловная замена https вместо http (тем более в задаче «раздача больших файлов веб-сервером») - это ~ +25% к потреблению энергии сервером.

Откуда ты это высосал? Или ты опять бухой? Если бы ты написал, что безусловная замена http на https увеличивает член на 25 сантиметров и девки начинают давать в 25 раз чаще, я бы больше в это поверил. То есть, не поверил бы, но твой рассказ про энергопотребление выглядит куда бредовее.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 2)
Ответ на: комментарий от harbinger

Там про уязвимости, которые позволяют получать полный доступ к машине и отформатировать на ней винчестер.

А новая уязвимость WinRar разрывает пользователя в клочья. И перед этим у него идёт кровь из глаз! Страшно? Тогда ставьте 7zip. В котором их нет. Да.

LinuxFromMachine
() автор топика
Ответ на: комментарий от ivanov17

Если ты смотрел начало второго Железного Неба, то он ещё и рептилоид. И там показали новую карту России. После ее поражения.

А в сцене после титров, которую показывали только в европейских кинотеатрах, он ещё был ещё и лидером движения Хамас.

LinuxFromMachine
() автор топика
Ответ на: комментарий от LinuxFromMachine

Да-да, позволяет спереть какие-то данные по два байта в час. Какие - мы вам не скажем, но вам срочно нужно навалить патчей, замедляющих IO до уровня хлебушка. Или купить новый процессор (надел кипу и потирает ручки).

harbinger
()
Последнее исправление: harbinger (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.