思科塔洛斯的研究人员报告了Tinyproxy 1.11.1和Tinyproxy 1.10.0中HTTP连接头解析的使用后释放漏洞。该问题被标识为CVE-2023-49606,并获得了9.8的CVSS评分。利用此问题可能导致远程代码执行。
“精心制作的HTTP头可以触发先前释放内存的重用,从而导致内存损坏并可能导致远程代码执行。攻击者需要进行未经身份验证的HTTP请求才能触发此漏洞。”报告中写道。
Tinyproxy是一个设计简单高效的开源HTTP代理守护程序。该漏洞影响了超过90,000个在互联网上暴露Tinyproxy服务的主机。塔洛斯的研究人员发布了这个漏洞的概念验证利用代码。“
截至2024年5月3日,Censys观察到超过90,000个主机正在暴露Tinyproxy服务,其中约有57%可能受到此漏洞的影响。”报告中写道。大多数暴露的主机位于美国,其次是韩国和中国。
该项目的维护者通过发布版本1.11.1 暂时解决了这个问题。tinyproxy 1.11.2发布版本将彻底修复该问题。“问题已在主分支中通过提交12a8484得到解决,代码可能看起来很简单,但它允许绕过分配更多可能会再次失败的内存。直接的修复方法是从键/值存储中复制检索到的值,然后对其进行操作,稍后再释放它。该代码仅在访问列表检查和身份验证成功后触发。因此,如果您使用基本身份验证并具有相当安全的密码,或者仅允许特定受信任的主机,您就不必担心。
原文始发于微信公众号(黑猫安全):大多数Tinyproxy实例可能容易受到漏洞CVE-2023-49606的影响
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论