Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

軽量プロクシ「Tinyproxy」に脆弱性 - 報告者と開発者に溝

軽量なプロクシサーバ「Tinyproxy」に関する脆弱性が明らかとなった。公表にあたり報告者は開発者より応答がなかったとしてゼロデイ脆弱性として公表したが、開発者のひとりは報告者より開発コミュニティに対して有効な連絡はなく、対応の遅れにつながったと不満を述べている。

脆弱性を発見したCisco Systemsの研究者が、現地時間5月1日に脆弱性「CVE-2023-49606」「CVE-2023-40533」を公表したもの。

「CVE-2023-49606」は、解放後のメモリを使用するいわゆる「Use After Free」の脆弱性。細工したHTTPヘッダを送りつけることで認証なしにコードを実行することが可能。共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」とレーティングしている。

あわせて初期化されていないメモリが使用される脆弱性「CVE-2023-40533」についても発表した。CVSS基本値は「5.9」、重要度は「中(Medium)」。同研究者は現地時間5月1日に詳細を公表し、脆弱性の概念実証(PoC)をあわせて公開している。

同研究者は、2023年12月にこれら脆弱性を開発者へ報告し、その後も連絡を試みたが、開発者から応答がなく、アップデートが用意されていない状態で今回の公表に至ったと説明している。

一方開発者のひとりは、ウェブページに記載がある開発コミュニティの「IRCチャンネル」に対し、同研究者から脆弱性に関する連絡はなかったと主張。gitのログに残った使用されていない関係者の古いメールアドレスに対して通知されたものではないかとの見方を示した。

(Security NEXT - 2024/05/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

個人情報漏洩などの報告処理、前年比約1.7倍に - 指導や助言も大幅増
メールアカウントが乗っ取り被害、大量のスパム配信 - 三重県文化振興事業団
講演会の申込フォームの設定ミス、個人情報が閲覧可能に - お茶の水女子大
「Rancher」にセキュリティアップデート - 複数脆弱性を修正
政府、大規模SNS事業者に「偽広告」への対応強化を要請
個人情報含む文書保存箱を避難通路に放置、住民から指摘 - 足立区
「MS Edge」にセキュリティアップデート - 独自含む脆弱性6件を修正
東芝テックや沖電気の複合機、脆弱性43件が明らかに
SonicWall製機器の「VPN」などにDoS脆弱性 - アップデートで修正
セキュリティアドバイザリのレーティングを引き上げ - Zoom