Игры с кальмаром: full dis­clo­sure для незафикшенных уязвимостей Squid.

1. Squid это кеширующий web прокси-сервер. Может использоваться, например, для ограничения доступа сотрудников организации к определенным сайтам в Интернете. Очень популярная штука.
2. В феврале 2021 года ресерчер Joshua Rogers провёл аудит безопасности Squid, обнаружил 55 уязвимостей в C++ коде проекта. 35 из них за 2 года не пофиксили, поэтому Роджерс вывалил всё в паблик. 🤷‍♂️ Ну типа, а почему бы и нет, сколько можно ждать-то. 🙂
3. В основном там, судя по названиям, ошибки работы с памятью, некоторые приводят к крашам. Описания выглядят детальными, хотя я особенно не вчитывался. Роджерс пишет, что на гитхабе есть PoC‑и, но видимо имеются ввиду примеры в описаниях. Утилиты "введи ip-адрес и сломай Squid полностью" пока не наблюдается. Но, возможно, кто-то вдохновится выложенным и запилит.

Что с этим делать не особенно понятно. Фиксов-то нет. На большую часть даже CVEшек нет. Видимо остаётся только ждать фиксов (и эксплоитов 😏) или отказываться от Squid. Классическая тема с опенсурсом: вроде всё классно, бесплатно, а случись что, то и спросить не с кого. Вся поддержка и разработка на энтузиастах-волонтерах.