90,310 台主机中超过 50% 被发现在互联网上暴露了Tinyproxy 服务，该服务容易受到 HTTP/HTTPS 代理工具中未修补的严重安全漏洞的影响。

该问题被追踪为CVE-2023-49606，根据 Cisco Talos 的 CVSS 评分为 9.8 分（满分 10 分），该问题将其描述为影响版本 1.10.0 和 1.11.1 的释放后使用错误。后者是最新版本。

Talos在上周的一份公告中表示： “特制的 HTTP 标头可能会触发先前释放的内存的重用，从而导致内存损坏并可能导致远程代码执行。” “攻击者需要发出未经身份验证的 HTTP 请求才能触发此漏洞。”

换句话说，未经身份验证的威胁参与者可以发送特制的HTTP 连接标头来触发内存损坏，从而导致远程代码执行。

根据攻击面管理公司 Censys 共享的数据，截至 2024 年 5 月 3 日，在向公共互联网公开 Tinyproxy 服务的 90,310 台主机中，其中 52,000 台（约 57%）运行着存在漏洞的 Tinyproxy 版本。

大多数可公开访问的主机位于美国（32,846）、韩国（18,358）、中国（7,808）、法国（5,208）和德国（3,680）。

Talos 于 2023 年 12 月 22 日报告了该问题，还发布了该缺陷的概念验证 (PoC)，描述了如何利用解析 HTTP Connection 连接的问题来触发崩溃，并且在某些情况下，代码执行。

Tinyproxy 的维护者在周末做出的一系列承诺中，指责 Talos 将报告发送到可能“过时的电子邮件地址”，并补充说，Debian Tinyproxy 软件包维护者于 2024 年 5 月 5 日通知了他们。

“没有提交 GitHub 问题，也没有人提到提到的 IRC 聊天中的漏洞，”rofl0r在提交中说。 “如果这个问题在 Github 或 IRC 上报告，这个错误就会在一天之内得到修复。”

更新
建议用户从 git 拉取最新的 master 分支，或者手动将上述提交作为版本 1.11.1 的补丁应用，直到 Tinyproxy 1.11.2 可用。还建议不要将 Tinyproxy 服务暴露在公共互联网上。