Быстрая покупка VPN для России через удобный Телеграмм-бот:
|
Коротко о том, к чему может привести неэффективная коммуникация между исследователями и разработчиками.
Более 50% из 90 310 серверов, использующих прокси-инструмент Tinyproxy, уязвимы из-за критической ошибки, получившей обозначение CVE-2023-49606 и оценку в 9,8 из 10 возможных баллов по шкале CVSS. Ошибка классифицируется как уязвимость типа «Use-After-Free» в версиях Tinyproxy 1.10.0 и 1.11.1.
Согласно отчёту специалистов Cisco Talos, отправка специально сформированного HTTP-заголовка может привести к повторному использованию уже освобождённой памяти, вызывая её повреждение, что, в свою очередь, может привести к выполнению удалённого кода.
По данным компании Censys, около 57% или 52 000 из 90 310 серверов с открытым доступом к Tinyproxy по состоянию на 3 мая 2024 года работали на уязвимой версии инструмента. Большинство таких серверов расположено в США (32 846), Южной Корее (18 358), Китае (7 808), Франции (5 208) и Германии (3 680).
Cisco Talos сообщила разработчикам Tinyproxy об уязвимости 22 декабря 2023 года и тогда же предоставила PoC-эксплойт, демонстрирующий как эта проблема может быть использована для вызова сбоев и, в некоторых случаях, выполнения произвольного кода.
Тем не менее, один из ведущих разработчиков Tinyproxy под ником «rofl0r» заявил, что сообщение о проблеме было направлено специалистами Talos на неактуальный электронный адрес. В связи с этим команде разработки стало известно о проблеме лишь вчера, пятого мая, после того, как о ней сообщил один из разработчиков, сопровождающий версию пакета Tinyproxy для Debian.
Получи VPN-прокси для России через наш удобный Телеграмм-бот:
|
Иными словами, проблема оставалась нерешённой, а серверы были уязвимы для атак практически полгода. Более того, rofl0r заявил, что если бы проблема была зарегистрирована через GitHub или IRC, то она была бы решена в течение суток.
Подобная ситуация создала необычный прецедент, который, возможно, заставит специалистов Talos задуматься о некоторой неэффективности выбранных ими методов коммуникации с разработчиками программного обеспечения.
Тем временем, разработчики Tinyproxy советуют пользователям обновить версию инструмента, как только появится возможность, а также рекомендуют не оставлять сервис открытым для общего доступа в Интернете.
В начале апреля мы рассказывали о похожей ситуации, произошедшей с крупными производителями компьютерного оборудования Intel и Lenovo. Как оказалось, их программное обеспечение таило в себе уязвимость, исправленную больше шести лет назад. Это случилось из-за того, что недостатку не был присвоен CVE-идентификатор, в связи с чем исправление не было задействовано в продуктах сторонних поставщиков.
Правильное, полное и своевременное информирование об уязвимостях имеет важнейшее значение для обеспечения кибербезопасности и защиты пользователей от потенциальных угроз.
Инцидент с уязвимостью в Tinyproxy показывает необходимость совершенствования процессов обмена информацией между исследователями кибербезопасности и разработчиками программного обеспечения, чтобы избежать подобных ситуаций в будущем.
Приватность — это право, а не роскошь.
Подпишитесь на наш канал и защитите свои права
Купить безопасный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень безопасности и защиты ваших данных при использовании интернета. Безопасный VPN предлагает множество функций, направленных на защиту вашей конфиденциальности, анонимности и предотвращение утечек данных.
Почему стоит купить безопасный VPN?
-
Защита личных данных: Безопасный VPN защищает ваши данные от кражи и слежки, особенно при использовании общественных Wi-Fi сетей.
-
Обход цензуры: Безопасные VPN позволяют обойти географические ограничения и получить доступ к заблокированным ресурсам и сайтам.
-
Спокойствие: Зная, что ваши данные защищены, вы можете более уверенно использовать интернет и меньше беспокоиться о безопасности.
-
Гибкость и настройки: Безопасные VPN часто предлагают различные настройки и функции, которые могут быть адаптированы под ваши нужды.
