50000多个小型代理服务器容易受到关键的RCE缺陷的影响

最近披露的一个关键远程代码执行 (RCE) 缺陷显示，近 52000 个暴露在互联网上的 Tinyproxy 实例容易受到 CVE-2023-49606 的影响。Tinyproxy 是一个开源 HTTP 和 HTTPS 代理服务器，旨在快速、小型和轻量级。它专为类 UNIX 操作系统量身定制，通常由小型企业、公共 WiFi 提供商和家庭用户使用。本月初，Cisco Talos 披露了 CVE-2023-49606，这是研究人员于 2023 年 12 月发现的一个关键 (CVSS v3: 9.8) 释放后使用缺陷，影响版本 1.11.1（最新）和 1.10.0。Cisco的报告分享了有关该漏洞的详细信息，包括导致服务器崩溃并可能导致远程代码执行的概念验证漏洞。Talos 研究人员在报告中解释说，该缺陷发生在“remove_connection_headers()”函数中，其中特定的 HTTP 标头（连接和代理连接）未得到正确管理，导致内存被释放，然后再次错误地访问。可以通过简单的格式错误的 HTTP 请求（例如， ………………………………