• 發布單位:TWCERT/CC
• 更新日期:2024-05-28
• 點閱次數:4909

Tinyproxy存在use-after-free安全漏洞(CVE-2023-49606)，可透過傳送特製的 HTTP 標頭導致遠端程式碼執行(RCE)，最近已釋出安全性更新。Tinyproxy 是一個輕量級的代理，可用於 HTTP 和 HTTPS 代理，其優點包括簡單、快速和佔用空間小，非常適合在小型網路環境中使用，全球約有 90,000 台主機安裝了 Tinyproxy 服務，其中仍有超過 50% 尚未修補此嚴重安全性漏洞。

Cisco Talos研究團隊表示，該漏洞位於程式的 remove_connection_headers() 函數中，未正確處理 http header 參數，造成記憶體被釋放後，仍能被錯誤的存取。換言之，攻擊者可透過發送含有特製 http 標頭的 http request，重新利用已釋放的記憶體，進而導致遠端程式碼執行。此漏洞由 Cisco Talos 編號為 CVE-2023-49606，CVSS 評分為 9.8 分，影響版本為 1.10.0 和 1.11.1。

資安業者 Censys 指出，統計到2024年5月3日 為止，約52,000台主機執行存在漏洞的Tinyproxy，這些受漏洞影響的主機分散在不同國家，包含美國約32,846台、韓國約18,358台、中國約7,808台、法國約5,208 台、德國約3,680台。

Cisco Talos於2023年12月22日已報告該漏洞，並發布概念驗證程式（Proof-of-Concept, PoC），他們亦表示曾提醒 Tinyproxy 的軟體維運者此安全性問題，但一直未收到回覆，也未見到任何修補程式釋出，因此2024 年 5 月 1 日公開此漏洞，5 天後，Debian Tinyproxy 的軟體維運者注意到此公告訊息，並通知 Tinyproxy 軟體維運者該問題。Tinyproxy 軟體維運者則指責 Cisco Talos 將報告發送到一個他們不再使用的電子郵件地址，並認為 Cisco Talos 只是隨意從 git log 資訊中找尋電子郵件地址，進行漏洞通報。。

Tinyproxy 軟體維運者已將修補程式發布在其Github上，建議使用 Tinyproxy 的用戶，儘快將軟體更新至 1.11.2 版本，並不要將此服務暴露於網際網路上。