ช่องโหว่ที่สำคัญในอินสแตนซ์ Tinyproxy
-
Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับ Tinyproxy ได้เปิดตัวการแก้ไขด้านความปลอดภัยซึ่งแก้ไขช่องโหว่ร้ายแรง หมายเลข CVE-2023-49606 ในอินสแตนซ์ที่เปิดเผยทางอินเทอร์เน็ต ช่องโหว่นี้มีคะแนน (CVSSv3) 9.8
การใช้ประโยชน์จากช่องโหว่แบบใช้แล้วทิ้ง อาจทำให้ผู้โจมตีสามารถส่งส่วนหัว HTTP ที่จัดทำขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายและอาจนำไปสู่การเรียกใช้โค้ดจากระยะไกล ซึ่งช่องโหว่ร้ายแรงส่งผลกระทบต่อ Tinyproxy เวอร์ชัน 1.10.0 และ 1.11.1
แนะนำให้ผู้ใช้งานและผู้ดูแลระบบของซอฟต์แวร์เวอร์ชันที่ได้รับผลกระทบควรดึงสาขาหลักล่าสุดจาก git หรือใช้การแก้ไขความปลอดภัยด้วยตนเองในขณะที่รอเวอร์ชันซอฟต์แวร์คงที่ที่จะออก ผู้ใช้และผู้ดูแลระบบควรอนุญาตการเข้าถึง Tinyproxy จากแหล่งที่เชื่อถือได้เท่านั้น เช่น เครือข่ายภายในของคุณหรือที่อยู่ IP เฉพาะ และอย่าเปิดเผย Tinyproxy กับอินเทอร์เน็ตสาธารณะ เพื่อช่วยป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและลดความเสี่ยงของปัญหาด้านความปลอดภัย
อ้างอิง
https://www.csa.gov.sg/alerts-advisories/alerts/2024/al-2024-047สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand
