Игры с кальмаром: full disclosure для незафикшенных уязвимостей Squid.

1. Squid это кеширующий web прокси-сервер. Может использоваться, например, для ограничения доступа сотрудников организации к определенным сайтам в Интернете. Очень популярная штука.
2. В феврале 2021 года ресерчер Joshua Rogers провёл аудит безопасности Squid, обнаружил 55 уязвимостей в C++ коде проекта. 35 из них за 2 года не пофиксили, поэтому Роджерс вывалил всё в паблик. 🤷‍♂️ Ну типа, а почему бы и нет, сколько можно ждать-то. 🙂
3. В основном там, судя по названиям, ошибки работы с памятью, некоторые приводят к крашам. Описания выглядят детальными, хотя я особенно не вчитывался. Роджерс пишет, что на гитхабе есть PoC-и, но видимо имеются ввиду примеры в описаниях. Утилиты "введи ip-адрес и сломай Squid полностью" пока не наблюдается. Но, возможно, кто-то вдохновится выложенным и запилит.

Что с этим делать не особенно понятно. Фиксов-то нет. На большую часть даже CVEшек нет. Видимо остаётся только ждать фиксов (и эксплоитов 😏) или отказываться от Squid. Классическая тема с опенсурсом: вроде всё классно, бесплатно, а случись что, то и спросить не с кого. Вся поддержка и разработка на энтузиастах-волонтерах.

Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.

And I invite all English-speaking people to another telegram channel @avleonovcom.