Một lỗ hổng nghiêm trọng vừa được phát hiện trên Tinyproxy, một proxy HTTP/S được người dùng cá nhân, doanh nghiệp nhỏ và nhà cung cấp Wi-Fi công cộng ưa chuộng vì tính đơn giản và hiệu quả. Lỗ hổng có mã theo dõi CVE-2023-49606, điểm CVSS 9,8.
Lỗ hổng là vấn đề use-after-free, tồn tại trong cách Tinyproxy phiên bản 1.11.1 và 1.10.0 phân tích HTTP Connection Headers.
Vấn đề đặc biệt nguy hiểm đối với các mạng nhỏ, khi máy chủ proxy đóng vai trò quan trọng về chức năng và bảo mật mạng. Sự gián đoạn của máy chủ proxy có thể dẫn đến mất dữ liệu và gián đoạn dịch vụ. Ngoài ra cũng tiềm ẩn các cuộc tấn công khác.
Theo Censys, tính đến 3/5/2024, có 90.310 máy chủ công khai sử dụng các dịch vụ Tinyproxy, với một số lượng lớn đặt tại Hoa Kỳ và Hàn Quốc. Khoảng 57% số máy chủ bị lộ này đang chạy các phiên bản 1.11.1 hoặc 1.10.0 ảnh hưởng bởi lỗ hổng.
Do các nhà bảo trì của Tinyproxy chưa có bản vá chính thức, nên người dùng được khuyến nghị, trước mắt đảm bảo rằng các dịch vụ của Tinyproxy không lộ trực tuyến trên Internet công cộng, hoặc cân nhắc sử dụng giải pháp thay thế.
Nguồn: Security Online