- 9,724
- 18
- 8 Ноя 2022
Коротко о том, к чему может привести неэффективная коммуникация между исследователями и разработчиками.
Более 50% из 90 310 серверов, использующих прокси-инструмент Для просмотра ссылки Войдиили Зарегистрируйся уязвимы из-за критической ошибки, получившей обозначение Для просмотра ссылки Войди или Зарегистрируйся и оценку в 9,8 из 10 возможных баллов по шкале CVSS . Ошибка классифицируется как уязвимость типа «Use-After-Free» в версиях Tinyproxy 1.10.0 и 1.11.1.
Для просмотра ссылки Войдиили Зарегистрируйся специалистов Cisco Talos , отправка специально сформированного HTTP-заголовка может привести к повторному использованию уже освобождённой памяти, вызывая её повреждение, что, в свою очередь, может привести к выполнению удалённого кода.
Для просмотра ссылки Войдиили Зарегистрируйся компании Censys, около 57% или 52 000 из 90 310 серверов с открытым доступом к Tinyproxy по состоянию на 3 мая 2024 года работали на уязвимой версии инструмента. Большинство таких серверов расположено в США (32 846), Южной Корее (18 358), Китае (7 808), Франции (5 208) и Германии (3 680).
Cisco Talos сообщила разработчикам Tinyproxy об уязвимости 22 декабря 2023 года и тогда же предоставила PoC-эксплойт, демонстрирующий как эта проблема может быть использована для вызова сбоев и, в некоторых случаях, выполнения произвольного кода.
Один из ведущих разработчиков Tinyproxy под ником «rofl0r», в свою очередь, заявил, что сообщение о проблеме было направлено специалистами Talos на неактуальный электронный адрес. В связи с этим команде разработки стало известно о проблеме лишь вчера, пятого мая, после того, как о ней сообщил один из разработчиков, сопровождающий версию пакета Tinyproxy для Debian.
Иными словами, проблема оставалась нерешённой, а серверы были уязвимы для атак практически полгода. Более того, rofl0r Для просмотра ссылки Войдиили Зарегистрируйся что если бы проблема была зарегистрирована через GitHub или IRC, то она была бы решена в течение суток.
Подобная ситуация создала необычный прецедент, который, возможно, заставит специалистов Talos задуматься о некоторой неэффективности выбранных ими методов коммуникации с разработчиками программного обеспечения.
Тем временем, разработчики Tinyproxy советуют пользователям обновить версию инструмента, как только появится возможность, а также рекомендуют не оставлять сервис открытым для общего доступа в Интернете.
В начале апреля Для просмотра ссылки Войдиили Зарегистрируйся произошедшей с крупными производителями компьютерного оборудования Intel и Lenovo. Как оказалось, их программное обеспечение таило в себе уязвимость, исправленную больше шести лет назад. Это случилось из-за того, что недостатку не был присвоен CVE-идентификатор, в связи с чем исправление не было задействовано в продуктах сторонних поставщиков.
Правильное, полное и своевременное информирование об уязвимостях имеет важнейшее значение для обеспечения кибербезопасности и защиты пользователей от потенциальных угроз.
Инцидент с уязвимостью в Tinyproxy показывает необходимость совершенствования процессов обмена информацией между исследователями кибербезопасности и разработчиками программного обеспечения, чтобы избежать подобных ситуаций в будущем.
Более 50% из 90 310 серверов, использующих прокси-инструмент Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Cisco Talos сообщила разработчикам Tinyproxy об уязвимости 22 декабря 2023 года и тогда же предоставила PoC-эксплойт, демонстрирующий как эта проблема может быть использована для вызова сбоев и, в некоторых случаях, выполнения произвольного кода.
Один из ведущих разработчиков Tinyproxy под ником «rofl0r», в свою очередь, заявил, что сообщение о проблеме было направлено специалистами Talos на неактуальный электронный адрес. В связи с этим команде разработки стало известно о проблеме лишь вчера, пятого мая, после того, как о ней сообщил один из разработчиков, сопровождающий версию пакета Tinyproxy для Debian.
Иными словами, проблема оставалась нерешённой, а серверы были уязвимы для атак практически полгода. Более того, rofl0r Для просмотра ссылки Войди
Подобная ситуация создала необычный прецедент, который, возможно, заставит специалистов Talos задуматься о некоторой неэффективности выбранных ими методов коммуникации с разработчиками программного обеспечения.
Тем временем, разработчики Tinyproxy советуют пользователям обновить версию инструмента, как только появится возможность, а также рекомендуют не оставлять сервис открытым для общего доступа в Интернете.
В начале апреля Для просмотра ссылки Войди
Правильное, полное и своевременное информирование об уязвимостях имеет важнейшее значение для обеспечения кибербезопасности и защиты пользователей от потенциальных угроз.
Инцидент с уязвимостью в Tinyproxy показывает необходимость совершенствования процессов обмена информацией между исследователями кибербезопасности и разработчиками программного обеспечения, чтобы избежать подобных ситуаций в будущем.
- Источник новости
- www.securitylab.ru
