軽量HTTP/HTTPSプロキシーデーモンの「Tinyproxy」に緊急の脆弱性

画像提供：マイナビニュース

Cisco Talos Intelligence Groupはこのほど、「TALOS-2023-1889 ｜ Cisco Talos Intelligence Group - Comprehensive Threat Intelligence」において、軽量HTTP/HTTPSプロキシーデーモンの「Tinyproxy」に緊急の脆弱性を発見したとして、注意を喚起した。この脆弱性を悪用されると、認証されていない第三者にコードを実行される可能性がある。

○脆弱性の概要

脆弱性に関する情報は次のページにまとまっている。

oss-security - CVE-2023-49606, CVE-2023-40533: memory safety vulnerabilities in tinyproxy ＜=1.11.1

脆弱性の情報(CVE)は次のとおり。

CVE-2023-49606 - HTTP接続ヘッダー解析に解放後使用(UAF: use-after-free)の脆弱性。特別に細工されたHTTPヘッダーにより、解放したメモリを再利用される可能性がある

○脆弱性の影響を受ける製品

脆弱性の影響を受ける製品およびバージョンは次のとおり。

Tinyproxy 1.11.1
Tinyproxy 1.10.0

○脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

Tinyproxy 1.11.2(予定)

○対策

発見された脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Cisco Talosは脆弱性の詳細および簡単な概念実証(PoC: Proof of Concept)コードをすでに公開しており、悪用が懸念される状況となっている。

しかしながら、修正予定となっているバージョン1.11.2はまだリリースされていないため、該当する製品を運用している管理者は、最新のソースコードからバイナリーをビルドして更新することが推奨されている(参考：「fix potential UAF in header handling (CVE-2023-49606) · tinyproxy/tinyproxy@12a8484 · GitHub」)。
（後藤大地）