Dezenas de vulnerabilidades que afetam o cache e o encaminhamento do proxy da web do Squid permanecem sem correção dois anos depois que um pesquisador as divulgou de forma responsável aos desenvolvedores.
Squid é um proxy de código aberto amplamente utilizado. Segundo o site oficial, “Muitos de vocês estão usando o Squid sem nem saber! Algumas empresas incorporaram o Squid em seus dispositivos de firewall domésticos ou de escritório, outras usam o Squid em instalações de proxy da Web em grande escala para acelerar o acesso à Internet de banda larga e discada. O Squid está sendo cada vez mais usado em arquiteturas de distribuição de conteúdo para fornecer vídeo/áudio estático e streaming para usuários da Internet em todo o mundo.”
As falhas de segurança do Squid foram descobertas em 2021 pelo pesquisador Joshua Rogers, que esta semana divulgou o detalhes técnicos de suas descobertas. Rogers identificou 55 vulnerabilidades visando vários componentes com difusão, revisão manual de código e análise estática.
Segundo o pesquisador, apenas algumas falhas receberam identificadores CVE e 35 delas permanecem sem correção.
Muitas das vulnerabilidades podem levar a um travamento, mas algumas também podem ser exploradas para execução arbitrária de código.
“A equipe do Squid tem sido prestativa e solidária durante o processo de relato desses problemas. No entanto, eles têm efetivamente falta de pessoal e simplesmente não têm os recursos para resolver os problemas descobertos. Martelá-los com exigências para resolver os problemas não irá longe”, disse Rogers.
O pesquisador destacou que existem mais de 2,5 milhões de instâncias do Squid expostas na internet.
“Com qualquer sistema ou projeto, é importante revisar regularmente as soluções usadas em sua pilha para determinar se ainda são apropriadas”, disse o pesquisador. “Se você estiver executando o Squid em um ambiente que pode sofrer de algum desses problemas, cabe a você reavaliar se o Squid é a solução certa para o seu sistema.”
Semana de Segurança entrou em contato com os desenvolvedores do Squid para comentar e atualizará este artigo se eles responderem.
: