3518 подписчиков
#news В прокси-инструменте Tinyproxy обнаружили уязвимость Use-After-Free на 9.8 по CVSS. По оценкам исследователей, уязвимы больше 50% от ~90 тысяч серверов, на которых стоит софт.
Что интересно, у разработчиков и исследователей произошло недопонимание. Последние сообщили об уязвимости в декабре 2023-го и предоставили проверку концепции, но им никто не ответил. В результате 1 мая публикация ушла с позорной пометкой «Нет ответа, нет патча». Разработчик же сообщил, что в Cisco Talos, видимо, писали на неактуальную почту, и если бы они постучали на GitHub или IRC, баг исправили бы в течение суток. Из-за проблем со связью же сервера были уязвимы полгода. В итоге патч выпущен, вопрос решён, но как заставить высокофункциональных аутистов от мира айти наладить нормальную коммуникацию по-прежнему остаётся загадкой.
Около минуты
7 мая 2024