وبعد مرور عامين، لا تزال هناك 35 ثغرة أمنية في الوكيل دون إصلاح، والآن أصبح السجل عامًا

تظل 35 نقطة ضعف في وكيل Squid Caching دون إصلاح بعد مرور أكثر من عامين على اكتشافها وإبلاغ القائمين على المشروع مفتوح المصدر بها، وفقًا للشخص الذي أبلغ عنها.

Squid هو وكيل ويب HTTP للتخزين المؤقت وإعادة التوجيه تستخدم على نطاق واسع جدا بواسطة مزودي خدمات الإنترنت ومشغلي مواقع الويب. في فبراير 2021، أجرى الباحث الأمني ​​جوشوا روجرز تدقيقًا أمنيًا لبرنامج Squid وادعى أنه عثر على 55 عيبًا في كود مصدر C++ للبرنامج.

ويقول روجرز إنه وبالتقدم سريعًا إلى يومنا هذا، فقد تم إصلاح 20 فقط من تلك العيوب.

لم يتم حتى تخصيص الغالبية العظمى منها لـ CVEs، بينما قيل لنا أن الـ 35 المتبقية لا تحتوي على تصحيحات أو حلول بديلة لتصحيح الثغرات.

وكتب روجرز: “بعد عامين ونصف من الانتظار، قررت أن أطرح هذه القضايا على الملأ”. بريد القائمة البريدية الأمنية Openwall.

يسجل أرسل بريدًا إلكترونيًا إلى العديد من مطوري Squid المدرجين في صفحة الاتصال ولم يتلقوا ردودًا على الفور على أسئلتنا. سنقوم بتحديث هذه القصة عندما نسمع من المشروع.

في المنشور وعلى موقعه على الإنترنت، روجرز المدرجة 45 ويضيف أن المشكلات الأمنية العشر المتبقية القابلة للاستغلال “تنتج عن مسارات متشابهة، ولكن مختلفة لإعادة إنتاج الثغرة الأمنية”. إنهم يديرون سلسلة كاملة من التطبيقات بعد الحرة، وتسرب الذاكرة، وتسميم ذاكرة التخزين المؤقت، وفشل التأكيد، والعيوب الأخرى في المكونات المختلفة.

قام روجرز بتسمية العيوب وقدم تفاصيل فنية حول الثغرات الأمنية، بما في ذلك فواصل التعليمات البرمجية ونقاط إثبات المفهوم (PoCs). جيثب. يسرد موقعه على الويب أيضًا 13 مشكلة إضافية في التعليمات البرمجية، والتي يعتبرها أخطاء متنوعة في الحدائق دون أي آثار أمنية.

يقول روجرز إنه عثر على جميع الأخطاء في Squid-5.0.5 و”اختبر كل المكونات تقريبًا: البروكسي الأمامي، والبروكسي العكسي، وجميع البروتوكولات المدعومة (http، https، اعتراض https، urn، whois، gopher، ftp)، والاستجابات، والطلبات، “المساعدون”، وDNS، وICAP، وESI، والتخزين المؤقت. تم استخدام كل مستخدم محتمل وإطار عمل البناء.”

أحدث إصدار من Squid يحمل رقم 6.3.

كما أقر أيضًا بأن مشرفي Squid Proxy – مثل معظم مطوري المصادر المفتوحة – هم في الغالب متطوعين وليس لديهم الدعم اللازم لإصلاح هذه المشكلات بسرعة.

واعترف روجرز قائلاً: “كان فريق Squid مفيدًا وداعمًا أثناء عملية الإبلاغ عن هذه المشكلات”. “ومع ذلك، فإنهم مجهزون بكفاءة وليس لديهم الموارد اللازمة لإصلاح المشكلات التي يتم اكتشافها. إن إغراقهم بطلبات إصلاح المشكلات لن يوصلهم إلى أبعد الحدود.”

وبطبيعة الحال، هذا مجرد غيض من فيض أكبر بكثير: من المسؤول عن صيانة ودعم البرمجيات مفتوحة المصدر؟

في هذه الحالة، أفرجت وكالة الأمن القومي الأمريكية وأصدقاؤها يوم الثلاثاء ورقة [PDF] التركيز على دعم البائعين – المالي وغيره – في البرامج مفتوحة المصدر في البيئات التشغيلية ولتطوير البرامج مفتوحة المصدر وصيانتها.

لكن لنعد إلى المشكلة: هناك أكثر من 2.5 مليون نسخة من Squid على الإنترنت (وفقًا لروجرز)، ونوصي بقراءة أوصاف الثغرة الأمنية إذا قمت بتشغيل الكود.

بعد ذلك، كما يشير روجرز، “الأمر متروك لك لإعادة النظر فيما إذا كان Squid هو الحل المناسب لنظامك.” ®