Dozens of Squid Proxy Vulnerabilities Remain Unpatched 2 Years After Disclosure
2023/10/12 SecurityWeek — Squid Proxy は、広く使用されているオープンソース・プロキシである。その Squid Proxy の Web キャッシングおよび転送機能に影響を及ぼす数十の脆弱性が、研究者から開発者に報告されてから、約2年が経過した現在でも、パッチが適用さないという状況が続いている。Squid プロジェクトの公式サイトには、「知らないうちに、Squid を使っている方も多いはずだ。自宅やオフィスのファイアウォール・デバイスに、Squid を組み込んでいる企業もある。また、ブロードバンドやダイヤルアップ・インターネット アクセスを高速化するための、大規模な Web プロキシの構築に Squid を使用している企業もある。Squid の用途は、コンテンツ配信アーキテクチャにも広がり、静止画および動画ストリーミングのビデオ/オーディオを、世界中のインターネット・ユーザーに配信するために利用されている」と記されている。
Squid のセキュリティホール群は、研究者である Joshua Rogers により、2021年に発見されたものだ。Rogers は、ファジング/手作業によるコードレビュー/静的解析により、各種のコンポーネントに存在する 55件の脆弱性を特定した。
この研究者によると、CVE 識別子が割り当てられている脆弱性は一握りであり、また、35件の脆弱性はパッチが適用されていないという。
脆弱性の多くはクラッシュにつながるものだが、その中には、任意のコード実行に悪用されるものもある。
Rogers は、「これらの問題を報告する過程で、Squid チームは親切にサポートしてくれた。しかし、彼らは、現実的に人員不足であり、発見された問題を修正するためのリソースがない。問題を修正するよう要求しても、埒が明かないという状況だ」と述べている。
彼の指摘は、インターネット上に、250万以上の Squid インスタンスが公開されているというものだ。
Rogers は、「どのようなシステムやプロジェクトであっても、スタックで使用されているソリューションに対しては、定期的に見直すことで、その時点の適性を判断することが重要が。これらの問題により、影響を被る可能性のある環境で Squid を実行している場合には、Squid がシステムにとって、適切なソリューションであるのかどうかを再評価するのは、あなた次第だ」と述べている。
SecurityWeekでも、Squid の開発者にコメントを求めており、返答があれば、この記事を更新する。
文中にもあるにように、知らず知らずのうちに Squid Proxy を使っているケースが多々あるのだろうと思います。そして、「Squid チームは人員不足であり、発見された問題を修正するためのリソースがない。問題を修正するよう要求しても、埒が明かないという状況」という部分に、大きな問題を感じてしまいます。2023/09/13 の「CISA がオープンソース保護を本格化:セキュリティ・ロードマップを発表」にあるように、米国政府の支援が待たれますね。
IoT OT Security News 
You must be logged in to post a comment.