軽量HTTP/HTTPSプロキシーデーモンの「Tinyproxy」に緊急の脆弱性
マイナビニュース / 2024年5月9日 12時31分
Cisco Talos Intelligence Groupはこのほど、「TALOS-2023-1889 | Cisco Talos Intelligence Group - Comprehensive Threat Intelligence」において、軽量HTTP/HTTPSプロキシーデーモンの「Tinyproxy」に緊急の脆弱性を発見したとして、注意を喚起した。この脆弱性を悪用されると、認証されていない第三者にコードを実行される可能性がある。
○脆弱性の概要
脆弱性に関する情報は次のページにまとまっている。
oss-security - CVE-2023-49606, CVE-2023-40533: memory safety vulnerabilities in tinyproxy <=1.11.1
脆弱性の情報(CVE)は次のとおり。
CVE-2023-49606 - HTTP接続ヘッダー解析に解放後使用(UAF: use-after-free)の脆弱性。特別に細工されたHTTPヘッダーにより、解放したメモリを再利用される可能性がある
○脆弱性の影響を受ける製品
脆弱性の影響を受ける製品およびバージョンは次のとおり。
Tinyproxy 1.11.1
Tinyproxy 1.10.0
○脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
Tinyproxy 1.11.2(予定)
○対策
発見された脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Cisco Talosは脆弱性の詳細および簡単な概念実証(PoC: Proof of Concept)コードをすでに公開しており、悪用が懸念される状況となっている。
しかしながら、修正予定となっているバージョン1.11.2はまだリリースされていないため、該当する製品を運用している管理者は、最新のソースコードからバイナリーをビルドして更新することが推奨されている(参考:「fix potential UAF in header handling (CVE-2023-49606) · tinyproxy/tinyproxy@12a8484 · GitHub」)。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Adobe AcrobatおよびAcrobat Readerに緊急の脆弱性、アップデートを
マイナビニュース / 2024年5月17日 7時33分
-
Google Chrome、ゼロデイの脆弱性修正するセキュリティアップデート - 悪用確認済み
マイナビニュース / 2024年5月12日 19時31分
-
プログラミング言語「R」に脆弱性、任意のコード実行の可能性
マイナビニュース / 2024年5月3日 18時37分
-
WordPress Automatic Plugin狙う攻撃を550万件以上確認、アップデートを
マイナビニュース / 2024年4月29日 18時20分
-
iPhoneのLINEアプリに脆弱性、アップデートを
マイナビニュース / 2024年4月21日 17時13分
ランキング
-
1富士フイルム新機種に重くのしかかる為替レート 「X-T50」の値段は「X-T30 II」の倍以上に
ITmedia NEWS / 2024年5月18日 7時20分
-
2モトローラの新ミドル機は控えめ価格なのに、FeliCa&防水&薄型軽量に美しいデザインと贅沢な1台
ASCII.jp / 2024年5月19日 12時0分
-
3「思わず笑った」 ハードオフに4万4000円で売られていた“まさかのフィギュア”に仰天 「玄関に置いときたい」
ねとらぼ / 2024年5月19日 12時0分
-
4Apple Watchを外出時にほぼ持ち出さなくなった理由
ITmedia Mobile / 2024年5月19日 10時5分
-
5「こういうネーミングに弱い」 冷房機器の“秀逸すぎる”商品名に「吹いた」「耐えられなかった」
ねとらぼ / 2024年5月20日 8時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください