本月初，Cisco Talos研究人员披露了HTTP/S代理Tinyproxy中的一个远程代码执行漏洞（CVE-2023-49606，CVSS评分9.8），可能影响5万多个暴露在互联网上的主机。该漏洞位于Tinyproxy 1.11.1和Tinyproxy 1.10.0中的HTTP Connection标头解析之中，利用此问题可能导致远程代码执行。

Tinyproxy是面向类UNIX操作系统的轻量级开源HTTP/S代理，适用于小型企业或个人用户。

据了解，这是一个use-after-free漏洞，由思科Talos的安全研究人员Dimitrios Tatsis发现。2024年5月1日，思科Talos发布了CVE-2023-49606的PoC，该 PoC展示了HTTP Connection 标头处理中的微小错误如何被利用以导致系统崩溃。未经身份验证的攻击者可以发送简单、特制的HTTP Connection标头以触发可能导致拒绝服务的内存损坏，在一些情况下也可能导致远程代码执行，造成数据泄露和服务中断。

根据攻击面管理公司Censys分享的数据，截至2024年5月3日，有90310台主机将Tinyproxy服务暴露在公共互联网上，绝大多数位于美国（32846）、韩国（18358）、中国（7808）、法国（5208）和德国（3680），其中52000台（约57%）正在运行易受攻击的Tinyproxy版本。

Talos最早于2023年12月22日报告了这个问题，但表示一直都未收到回应。而Tinyproxy的项目维护者则在上周末完成修复并提交更新，同时指责Talos可能是将报告发送到了过时的电子邮件地址，并补充说他们是在2024年5月5日才被一位Debian Tinyproxy软件包维护者告知。

在Tinyproxy 1.11.2可用前，建议受影响的用户从git拉取最新的主分支或手动将上述提交应用为1.11.1版本的补丁，并且注意不要将Tinyproxy服务暴露在公共互联网上。

报告链接：https://talosintelligence.com/vulnerability_reports/TALOS-2023-1889

编辑：左右里

资讯来源：Cisco Talos、Censys

转载请注明出处和本文链接

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开 发者可享99元/年，续费同价！