LINUX.ORG.RU

Десятки уязвимостей в Squid не могут исправить уже 2,5 года

 ,


0

3

Более двух лет прошло с момента обнаружения 35 уязвимостей в кеширующем прокси Squid, и большинство из них до сих пор не устранено, предупреждает эксперт по безопасности, который первым сообщил о данных проблемах.

В феврале 2021 года специалист по безопасности Джошуа Роджерс провел анализ Squid и выявил 55 уязвимостей в коде проекта.

К настоящему времени были устранены всего 20 из них. Основная часть уязвимостей так и не получила обозначений CVE, что означает отсутствие официальных исправлений или рекомендаций по их устранению. Роджерс в письме к сообществу безопасности Openwall сказал, что после долгого ожидания он решил опубликовать эту информацию.

Роджерс детализировал уязвимости на своем сайте, подчерчеркнув разнообразие проблем – использование после освобождения (Use-After-Free), утечка памяти (memory leak), отравление кэша (cache poisoning), ошибка утверждения (assertion failure) и другие недостатки в различных компонентах. При этом специалист выразил понимание к команде Squid, отметив, что многие разработчики open-source проектов работают на волонтерских началах и не всегда могут оперативно реагировать на подобные проблемы.

Стоит отметить, что Squid в настоящее время используется в миллионах экземпляров по всему миру.

Рекомендации Роджерса подразумевают, что каждый пользователь должен самостоятельно оценить, подходит ли Squid для их системы. В противном случае пользователи могут столкнуться со сбоями и рисками в области информационной безопасности.

Эта ситуация напоминает всем нам о важности регулярного обновления и обеспечения безопасности программного обеспечения. В противном случае, как подчеркивает Роджерс, «толку от этого не будет».

Этот беспокойный эпизод поднимает серьезные вопросы о безопасности открытых проектов и их способности справляться с непрекращающимся потоком новых уязвимостей.

Остается надеяться, что участники сообщества и разработчики примут неотложные меры для устранения этой угрозы в будущем.

Письмо Джошуа на Openwall (англ.)

Детализация проблем на сайте Джошуа (англ.)

>>> Подробности (securitylab.ru)



Проверено: hobbit ()
Последнее исправление: Virtuos86 (всего исправлений: 4)
Ответ на: комментарий от hateyoufeel

https реально не бесплатный, как некоторые думают. Хотя мне казалось там больше затраты на установление сессии с тяжёлыми расчётами RSA. Попробуй по локалке скачивать большой файл по http и https и сравни загрузку проца сервера в обоих случаях, для надёжности.

firkax ★★★★★
()
Ответ на: комментарий от hateyoufeel

https реально не бесплатный, как некоторые думают. Хотя мне казалось там больше затраты на установление сессии с тяжёлыми расчётами RSA. Попробуй по локалке скачивать большой файл по http и https и сравни загрузку проца сервера в обоих случаях, для надёжности.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Я верю, что там будет разница. Но не 25%. По крайней мере, если процессор выпущен в последние 10 лет и умеет aesni.

И это мы ещё не вспомнили тут про tls offload, который многие сетевые карты сейчас умеют. Тогда процу вообще посрать.

hateyoufeel ★★★★★
()
Ответ на: комментарий от hateyoufeel

Мне лень искать, гугли сам, было и по мобилкам, и по эмбеддед и по PC.

Ну и сам натыкался на относительно старых arm’ах, на http гигабит практически утилизируется, а при переезде на https ядра в полке, а утилизация сети около половины.

Dimez ★★★★★
()
Ответ на: комментарий от Dimez

Мне лень искать, гугли сам, было и по мобилкам, и по эмбеддед и по PC.

То есть, пруфов у тебя нету. Я понял.

Ну и сам натыкался на относительно старых arm’ах

А причём здесь сервера?

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

То есть, пруфов у тебя нету.

Я не вижу заинтересованности в нормальной дискуссии по прошлым твоим постам в этой теме, поэтому мне искать и прилагать пруфы - это метать бисер перед свиньями.

Dimez ★★★★★
()
Последнее исправление: Dimez (всего исправлений: 1)
Ответ на: комментарий от Dimez

Я не вижу заинтересованности в нормальной дискуссии

Потому что ты начал с «просто ты дураковат», а потом высрал про 25% откуда-то. Ты знаешь, что это чушь. Я знаю, что это чушь. Моя бабушка знает, что это чушь.

hateyoufeel ★★★★★
()
Ответ на: комментарий от Dimez

Потому что ты начал с

Ну да, ну да :)

Естественно, дураковат.

Чо сказать-то хотел?

В мобилках и всех остальных пользовательских девайсах почти весь трафик по https сейчас ходит, и почему-то макбуки по 20 часов могут ютуб показывать от батарейки. Наверное, магия.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 2)
Ответ на: комментарий от hateyoufeel

Чо сказать-то хотел?

Что хотел, давно сказал.

Ты уже потерял нить дискуссии, ЧиТД.

Dimez ★★★★★
()
Ответ на: комментарий от cumvillain

И то и другое зло. Должна быть только локальная репа, пакеты в которую кладутся руками и прошли через безопасников.

Reset ★★★★★
()
Ответ на: комментарий от Reset

И то и другое зло. Должна быть только локальная репа, пакеты в которую кладутся руками и прошли через безопасников.

Хорошая попытка, но нет, ИБшники все ещё бесполезные люди которых мы не будем лишний раз кормить.

cumvillain
()

честно говоря я думал он помер уже. мрачный он, как герои DC (c)

angel_il ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.