06.06.2023

Команда безопасности Opera обнаружила уязвимости в веб-прокси – Privoxy

Opera публично раскрыла шесть серьезных уязвимостей, которые были обнаружены в ходе аудита безопасности Privoxy, программного обеспечения для веб-прокси с открытым исходным кодом.

Opera – браузер на основе Chromium, начала серию публикаций в блоге, первая из которых была написана инженером по безопасности Джошуа Роджерс.

Первое расследование касалось Privoxy, выпущенного в 2001 году и описанного как «не кэширующий веб-прокси с расширенными возможностями фильтрации для повышения конфиденциальности, изменения данных веб-страниц и заголовков HTTP, контроля доступа и удаления рекламы и другого неприятного интернет-мусора».

Privoxy когда-то был основным способом входа в сеть Tor и до сих пор рекомендуется Tor Project.

Opera использовала собственный фреймворк фаззинга прокси-сервера Privoxy наряду с частичным анализом, во время аудита – по словам организации «смогли провести фаззинг Privoxy более аналогично тому, как он будет работать в реальных условиях».

Уязвимости, обнаруженные в Privoxy до версии 3.0.32, были:

CVE-2021-20276: переполнение буфера в pcre_compile (), приводящее к отказу в обслуживании (DoS).
CVE-2021-20217: сбой утверждения, вызванный созданным запросом CGI, вызывающим DoS.
CVE-2021-20272: еще одна проблема с утверждениями в шлюзе конфигурации, которая могла вызвать сбои системы.
CVE-2021-20273: если Privoxy выключен, DoS может произойти через созданный запрос CGI.
CVE-2021-20275: недопустимое чтение в chunked_body_is_complete () могло вызвать сбой.
CVE-2021-20274: проблема разыменования нулевого указателя, которая может привести к сбою системы.

Большинство проблем присутствовало во внутреннем конфигурационном шлюзе прокси, технологии, используемой для изменения настроек Privoxy во время сеанса браузера без доступа к главному серверу.

Во время фаззинга Opera также обнаружила пять других ошибок, не связанных с безопасностью, включая неопределенное поведение, неинициализированное чтение памяти и две проблемы в собственном коде режима фаззинга Privoxy.

Фабиан Кейл, разработчик Privoxy, устранил недостатки, и исправления доступны в виде обновлений. Opera выбрала Pivoxy из-за его небольшой и простой кодовой базы.

А на этом сегодня все, надеюсь, данная статья будет вам полезна.
Хотелось бы выразить огромную благодарность тем, кто принимает активное участие в жизни и развитии журнала, огромное спасибо вам за это.
Журнал Cyber-X

Источник.