Tinyproxy ‘conf.c’整数溢出安全绕过漏洞

漏洞起因
访问验证错误
危险等级
低

影响系统
Banu Systems Private Limited Tinyproxy 1.8.2

不受影响系统
Banu Systems Private Limited Tinyproxy 1.8.3

危害
远程攻击者可以利用漏洞绕过限制访问受限资源。

攻击所需条件
攻击者必须访问Tinyproxy。

漏洞信息
Tinyproxy是一个小型的基于GPL的HTTP/SSL代理程序。
Tinyproxy在子网掩码生成实现上存在一个错误，当配置允许网络段时(如"Allow 192.168.0.0/24"相对与默认的"Allow 127.0.0.1")，会允许任意IP地址连接，使其成为一个开放代理。如果配置使用一个或多个使用IP段的Allow语句，就会发生这种情况。

测试方法

厂商解决方案
Tinyproxy 1.8.3已经修复此漏洞，建议用户下载使用：
https://banu.com/tinyproxy/

漏洞提供者
PhobosK

漏洞消息链接
https://banu.com/bugzilla/show_bug.cgi?id=90

← WordPress ‘.phtml’文件任意文件上传漏洞

SPlayer ‘Content-Type’头远程缓冲区溢出漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

Tinyproxy ‘conf.c’整数溢出安全绕过漏洞

0 条评论。

发表评论