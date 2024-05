Cisco Talos Intelligence Groupはこのほど、「TALOS-2023-1889 | Cisco Talos Intelligence Group - Comprehensive Threat Intelligence」において、軽量HTTP/HTTPSプロキシーデーモンの「Tinyproxy」に緊急の脆弱性を発見したとして、注意を喚起した。この脆弱性を悪用されると、認証されていない第三者にコードを実行される可能性がある。

TALOS-2023-1889 | Cisco Talos Intelligence Group - Comprehensive Threat Intelligence○脆弱性の概要脆弱性に関する情報は次のページにまとまっている。oss-security - CVE-2023-49606, CVE-2023-40533: memory safety vulnerabilities in tinyproxy <=1.11.1脆弱性の情報(CVE)は次のとおり。CVE-2023-49606 - HTTP接続ヘッダー解析に解放後使用(UAF: use-after-free)の脆弱性。特別に細工されたHTTPヘッダーにより、解放したメモリを再利用される可能性がある○脆弱性の影響を受ける製品脆弱性の影響を受ける製品およびバージョンは次のとおり。Tinyproxy 1.11.1Tinyproxy 1.10.0○脆弱性が修正された製品脆弱性が修正された製品およびバージョンは次のとおり。Tinyproxy 1.11.2(予定)○対策発見された脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Cisco Talosは脆弱性の詳細および簡単な概念実証(PoC: Proof of Concept)コードをすでに公開しており、悪用が懸念される状況となっている。しかしながら、修正予定となっているバージョン1.11.2はまだリリースされていないため、該当する製品を運用している管理者は、最新のソースコードからバイナリーをビルドして更新することが推奨されている(参考:「fix potential UAF in header handling (CVE-2023-49606) · tinyproxy/tinyproxy@12a8484 · GitHub」)。