ИБ-исследователь Джошуа Роджерс в 2021 году обнаружил более 50 уязвимостей в прокси-сервере Squid. Он удивлен, что большинство уязвимостей так и не исправили. Более того, некоторым уязвимостям все еще не присвоили идентификаторы CVE.
Squid используют интернет-провайдеры и операторы сайтов. Разные компании встраивают программный пакет, реализующий функцию кэширующего прокси-сервера. Когда Роджерс завершил независимое исследование, в исходном коде проекта было обнаружено 55 ошибок. Возможно, сейчас статистика гораздо больше.
По словам ИБ-исследователя, 20 ошибок к 2023 году были исправлены, а для остальных даже не выпустили патчи. Эксперт считает, что это безответственно, но также рассматривается версия, что у разработчиков пока нет ресурсов исправить все баги. Роджерс уверяет, что уязвимости могут привести к утечке памяти и другим негативным последствиям. Их следует исправить в ближайшее время, и работа в этом направлении должна быть качественной.
Эксперты заинтересовались этим случаем. Они думают, что если ошибки в Squid не будут исправлять, появятся новые, и все это в совокупности может привести к крупному сбою системы. Однако специалисты, оценив обстановку, поняли, что не все найденные уязвимости имеют отношение к безопасности.
