本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
最近披露的一个关键远程代码执行(RCE)缺陷显示,近52000个暴露在互联网上的Tinyproxy实例容易受到CVE-2023-49606的影响。
Tinyproxy是一个开源HTTP和HTTPS代理服务器,旨在快速、小型和轻量级。它专为类UNIX操作系统量身定制,通常由小型企业、公共WiFi提供商和家庭用户使用。
本月初,Cisco Talos披露了CVE-2023-49606,这是研究人员于2023年12月发现的一个关键(CVSS v3:9.8)释放后使用缺陷,影响版本1.11.1(最新)和1.10.0。
Cisco的报告分享了有关该漏洞的详细信息,包括导致服务器崩溃并可能导致远程代码执行的概念验证漏洞。
Talos研究人员在报告中解释说,该缺陷发生在“remove_connection_headers()”函数中,其中特定的HTTP标头(连接和代理连接)未得到正确管理,导致内存被释放,然后再次错误地访问。可以通过简单的格式错误的HTTP请求(例如,连接:连接)轻松利用此漏洞,而无需进行身份验证。
Censys发现有90000个在线暴露于互联网的Tinyproxy服务,其中约57%容易受到CVE-2023-49606的攻击。具体来说,Censys发现有18372个实例运行易受攻击的版本1.11.1,另外1390个实例运行在1.10.0版本上。这些实例大多数位于美国(11946),其次是韩国(3732)。
Cisco披露该漏洞五天后,Tinyproxy发布了CVE-2023-49606的修复程序,该修复程序根据需要调整内存管理以防止被利用。
然而,Tinyproxy对Cisco正确披露该错误的说法提出异议,称他们从未通过该项目要求的披露渠道收到报告。
包含安全修复程序的提交(12a8484)位于版本1.11.2中,但有紧急需要的人可以从master分支中提取更改或手动应用突出显示的修复程序。
Tinyproxy说道:“如果tinyproxy使用musl libc 1.2+(其强化内存分配器会自动检测UAF),或者使用地址清理程序构建,那么它会允许对服务器进行DOS攻击。”
开发人员还指出,更新的代码仅在通过身份验证和访问列表检查后才会触发,这意味着该漏洞可能不会影响所有设置,特别是在企业网络等受控环境中或使用带有安全密码的基本身份验证的设置。
