.
35 vulnerabilidades no proxy de cache Squid permanecem sem correção mais de dois anos depois de serem encontradas e divulgadas aos mantenedores do projeto de código aberto, de acordo com a pessoa que as denunciou.
Squid é um proxy web HTTP de cache e encaminhamento que é muito utilizado por ISPs e operadores de sites. Em fevereiro de 2021, o pesquisador de segurança Joshua Rogers realizou uma auditoria de segurança no Squid e disse ter descoberto 55 falhas no código-fonte C++ do projeto.
Avançando até hoje, Rogers afirma que apenas 20 dessas falhas foram corrigidas.
A maioria nem sequer recebeu CVEs, e os 35 restantes ainda não possuem patches ou soluções alternativas para tapar as lacunas, fomos informados.
“Depois de dois anos e meio de espera, decidi divulgar publicamente as edições”, escreveu Rogers em um comunicado. publicar para a lista de discussão de segurança do Openwall.
Strong The One enviamos um e-mail a vários desenvolvedores do Squid listados na página de contato e não recebemos respostas imediatas às nossas perguntas. Atualizaremos esta história se e quando tivermos notícias do projeto.
Na postagem e em seu site, Rogers listado 45 questões de segurança exploráveis, observando que as dez restantes são o “resultado de caminhos semelhantes, mas diferentes, para reproduzir uma vulnerabilidade”. Eles variam desde uso após liberação, vazamento de memória, envenenamento de cache, falha de asserção e outras falhas em vários componentes.
Rogers nomeou as falhas e forneceu detalhes técnicos sobre as vulnerabilidades – incluindo quebras de código e PoCs – em GitHub. Seu site também lista 13 problemas de código adicionais que ele considera bugs variados que não têm implicações de segurança.
Rogers diz que encontrou todas as falhas no Squid-5.0.5 e realizou testes em “quase todos os componentes possíveis: proxy direto, proxy reverso, suporte a todos os protocolos (http, https, interceptação https, urna, whois, gopher, ftp), respostas, solicitações, ‘ajudantes’, DNS, ICAP, ESI e cache. Todas as configurações possíveis de usuário e compilação foram usadas.
A versão mais recente do Squid é 6.3.
Ele também reconheceu que os mantenedores do proxy Squid – como a maioria dos desenvolvedores de código aberto – são em grande parte voluntários e podem não ter o suporte necessário para resolver rapidamente todos esses problemas.
“A equipe do Squid tem sido prestativa e solidária durante o processo de relato desses problemas”, admitiu Rogers. “No entanto, eles têm efetivamente falta de pessoal e simplesmente não têm os recursos para resolver os problemas descobertos. Martelá-los com exigências para resolver os problemas não irá longe.”
Mantenedor de código aberto ameaça jogar a toalha se as empresas não apostarem
Isto, claro, é apenas a ponta de um iceberg muito maior: quem deveria ser responsável pela manutenção e suporte do software de código aberto?
Nesse ponto, a Agência de Segurança Nacional dos EUA e amigos emitiram na terça-feira um papel [PDF] em software de código aberto em ambientes operacionais e pediu apoio dos fornecedores – tanto financeiro quanto de outra forma – para desenvolvimento e manutenção de software de código aberto.
Mas voltando ao assunto em questão: com mais de 2,5 milhões de instâncias do Squid disponíveis na Internet (de acordo com Rogers), sugerimos a leitura das descrições das vulnerabilidades se você estiver executando o código.
Então, como observa Rogers, “cabe a você reavaliar se o Squid é a solução certa para o seu sistema”. ®
.
