Eine kritische Use-After-Free-Schwachstelle (CWE-416) wurde in den Versionen 1.11.1 und 1.10.0 von Tinyproxy entdeckt. Diese Schwachstelle CVE-2023-49606 ermöglicht es Angreifern, durch speziell gestaltete HTTP-Header Speicherbereiche, die bereits freigegeben wurden, erneut zu verwenden, was zu Speicherkorruption führen kann. Dies könnte potenziell die Ausführung von Remote-Code ermöglichen.
Tinyproxy ist ein leichtgewichtiger, Open-Source HTTP-Proxy-Daemon, der für seine Einfachheit und Effizienz bekannt ist. Die Schwachstelle entsteht durch die unsachgemäße Handhabung der HTTP-Connection-Header während der Parsing-Prozesse. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine unauthentifizierte HTTP-Anfrage an den betroffenen Server sendet.
Der Schwachstellenbewertung zufolge weist der Fehler einen CVSSv3-Score von 9.8 / 10 und ermöglicht es einem Angreifer beliebigen Code im Kontext des Proxyservers auszuführen.
Zum Zeitpunkt der Veröffentlichung gab es noch keine Reaktion des Herstellers oder einen verfügbaren Patch. Nutzer von Tinyproxy werden dringend dazu aufgefordert, die Entwicklung zu verfolgen und auf ein Update zu warten, das diesen Fehler behebt.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: