Търсене
Close this search box.

Критичен недостатък на Tinyproxy открива над 50 000 хоста

Установено е, че повече от 50 % от 90 310 хоста излагат на риск услугата Tinyproxy в интернет, която е уязвима към критичен непоправен недостатък в сигурността на HTTP/HTTPS прокси инструмента.

Проблемът, проследен като CVE-2023-49606, има CVSS оценка 9,8 от максимална 10, според Cisco Talos, която го описва като грешка, свързана с използването след освобождаване, засягаща версии 1.10.0 и 1.11.1, последната от които е най-новата версия.

„Специално създадено HTTP заглавие може да предизвика повторно използване на освободена преди това памет, което води до повреда на паметта и може да доведе до отдалечено изпълнение на код“, заяви Talos в консултация миналата седмица. „Нападателят трябва да направи неавтентична HTTP заявка, за да задейства тази уязвимост.“

С други думи, неавтентифициран участник в заплахата може да изпрати специално създадено заглавие за HTTP връзка, за да предизвика повреда на паметта, която може да доведе до отдалечено изпълнение на код.

Според данни, споделени от компанията за управление на повърхността на атаките Censys, от 90 310 хоста, излагащи услугата Tinyproxy на публичен интернет към 3 май 2024 г., 52 000 (~57%) от тях работят с уязвима версия на Tinyproxy.

По-голямата част от публично достъпните хостове се намират в САЩ (32 846), Южна Корея (18 358), Китай (7 808), Франция (5 208) и Германия (3 680).

Компанията Talos, която съобщи за проблема на 22 декември 2023 г., също така публикува доказателство за концепцията (PoC) за дефекта, описвайки как проблемът с парсирането на връзките HTTP Connection може да бъде използван като оръжие за предизвикване на срив, а в някои случаи и за изпълнение на код.

Поддържащите Tinyproxy, в набор от коммисии, направени през уикенда, призоваха Talos за изпращане на доклада на вероятно „остарял имейл адрес“, като добавиха, че са били уведомени от поддържащ пакета Debian Tinyproxy на 5 май 2024 г.

„Не е подаден въпрос в GitHub и никой не е споменал за уязвимост в споменатия IRC чат“, заяви rofl0r в ангажимента. „Ако проблемът беше докладван в Github или IRC, грешката щеше да бъде отстранена в рамките на един ден.“

UPDATE
Препоръчва се на потребителите да изтеглят последния клон master от git или да приложат ръчно гореспоменатия commit като кръпка на версия 1.11.1, докато Tinyproxy 1.11.2 не бъде предоставен. Препоръчва се също така услугата Tinyproxy да не е изложена на публичен достъп до интернет.

Източник: The Hacker News

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
14 юни 2024

Как да повишим киберсигурността на компаниите з...

Технологичният пейзаж се променя бързо, което поставя нови предизви...
Бъдете социални
Още по темата
11/06/2024

Нова уязвимост на PHP излаг...

Появиха се подробности за нов критичен...
27/05/2024

Несигурната екосистема на M...

Срив на системата доведе до срив...
22/05/2024

Новият Windows 11 Recall на...

Обявяването от Microsoft на новата функция...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!