Kritische Use-After-Free-Schwachstelle in Tinyproxy
Eine kritische Use-After-Free-Schwachstelle (CWE-416) wurde in den Versionen 1.11.1 und 1.10.0 von Tinyproxy entdeckt. Diese Schwachstelle CVE-2023-49606 ermöglicht es Angreifern, durch speziell gestaltete HTTP-Header Speicherbereiche, die bereits freigegeben wurden, erneut zu verwenden, was zu Speicherkorruption führen kann. Dies könnte potenziell die Ausführung von Remote-Code ermöglichen.
Tinyproxy ist ein leichtgewichtiger, Open-Source HTTP-Proxy-Daemon, der für seine Einfachheit und Effizienz bekannt ist. Die Schwachstelle entsteht durch die unsachgemäße Handhabung der HTTP-Connection-Header während der Parsing-Prozesse. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine unauthentifizierte HTTP-Anfrage an den betroffenen Server sendet.
Der Schwachstellenbewertung zufolge weist der Fehler einen CVSSv3-Score von 9.8 / 10 und ermöglicht es einem Angreifer beliebigen Code im Kontext des Proxyservers auszuführen.
Zum Zeitpunkt der Veröffentlichung gab es noch keine Reaktion des Herstellers oder einen verfügbaren Patch. Nutzer von Tinyproxy werden dringend dazu aufgefordert, die Entwicklung zu verfolgen und auf ein Update zu warten, das diesen Fehler behebt.