3519 подписчиков

#news К невесёлой теме опенсорс-проектов, работающих на голом энтузиазме. В феврале 2021-го безопасник Джошуа Роджерс провёл аудит кэширующего прокси-сервера Squid на предмет уязвимостей. И 2,5 года спустя из 55 багов, о которых он сообщил разработчикам, исправлены только 20. К оставшимся 35 нет ни патчей, ни временных решений. Большинству даже не выписали CVE. И в команде с хроническим некомплектом этим всем заниматься просто некому.

Собственно, после 2,5 лет ожидания исследователь опубликовал список багов в Squid в открытом доступе. 35 нулевых дней во всевозможных компонентах и конфигурациях вместе с разбором кода и проверками концепции. Утечки памяти, отравление кэша, переполнение буфера и прочие радости. Со списком уязвимостей можно ознакомиться на Гитхабе. А заодно оценить, стоит ли продолжать пользоваться Squid’ом в свете публикации.

@tomhunter

#news К невесёлой теме опенсорс-проектов, работающих на голом энтузиазме. В феврале 2021-го безопасник Джошуа Роджерс провёл аудит кэширующего прокси-сервера Squid на предмет уязвимостей.

Около минуты

13 октября 2023