超5万台 Tinyproxy 服务器易受严重RCE漏洞影响

Tinyproxy 是一款开源的HTTP 和HTTPS 代理服务器，旨在成为快速、小型和轻量的服务器，专为 UNIX 类的操作系统定制，常用于小型企业、公共WiFi提供商和家庭用户。

本月初，思科 Talos 披露称他们在2023年12月发现该漏洞，它影响 1.11.1和1.10.0版本，而公开披露的原因是未收到开发人员的回复。思科在报告中分享了该漏洞的详情，包括可导致服务器崩溃并可能导致远程代码执行后果的 PoC 利用。

思科 Talos 研究人员在报告中解释称，该漏洞位于 “remove_connection_headers()” 函数中，特定的HTTP标头（Connection 和 Proxy-Connection）未得到正确管理，导致内存被释放，且之后遭不恰当的访问。攻击者无需认证，即可通过一个简单的恶意HTTP请求（如 Connection: Connection）进行利用。

思科当时提醒称，尽管已经提醒 Tinyproxy 的开发人员注意该严重漏洞，但他们并未收到回复，也没有补丁供用户下载。

上周六，Censys 报道称，被暴露在互联网的 Tinyproxy 服务达到9万，其中约57%的服务易受CVE-2023-49606的影响。具体而言，Censys 发现18372个实例运行易受攻击版本1.11.1，1390个实例运行1.10.0版本。大多数实例位于美国（11,946）、韩国、法国、德国等。

上周日，就在思科披露该漏洞的五天后，Tinyproxy 的维护人员发布了CVE-2023-49606的修复方案，调整了内存管理以阻止利用。

然而，Tinyproxy 维护人员对思科公开漏洞的行为提出异议，表示从未通过该项目的披露渠道收到漏洞报告。开发人员在 GitHub 上指出，“TALOS 情报团队的安全研究员在2023年12月发现了tinyproxy中的一个释放后使用漏洞，声称已联系上游并等待6个月之后才发布。不管他为联系上游做了什么，都是无效的且并非 tinyproxy 主页或 README.md 上所描述的事情。他显然并未竭力找到有效的接口，很可能从git日志中随手找到一个邮箱地址并发了一封邮件。该漏洞在2024年5月1日被公开，而过了整整5天后，我才从一名发行包维护人员处通过IRC知道。”

包括该修复方案的提交 (12a8484) 包含在即将发布的版本1.11.2中，不过情况紧急的情况下可从主分支拉取变更或者手动应用已突出显示的修复方案。Tinyproxy 的维护人员指出，“这是一个非常严重的漏洞，很可能会导致 RCE，尽管到目前为止还未发现起作用的利用。如果 tinyproxy 使用musl libc 1.2+ 版本（加固内存分配器自动检测UAF）或以地址清理器构建，则肯定会导致服务器受DoS 攻击。”

Tinyproxy 的开发人员还提到，已更新的代码仅在通过认证和访问列表检查后才会触发，意味着该漏洞可能并不影响所有的设置，尤其是位于受控环境中如企业网络的设置或使用带有安全密码的基础认证的设置。