TinyWeb — веб-сервер (HTTP, HTTPS), написанный на Delphi для Win32. Версии до версии 2.02 уязвимы для атаки типа «отказ в обслуживании» (DoS), известной как Slowloris. Сервер создает новый поток ОС для каждого входящего соединения, не устанавливая максимальный предел параллелизма или соответствующий тайм-аут запроса.
Удаленный злоумышленник, не прошедший проверку подлинности, может исчерпать ограничения одновременной обработки и памяти сервера, открывая многочисленные соединения и отправляя данные исключительно медленно (например, 1 байт каждые несколько минут). Это затронет любого хостера, использующего TinyWeb. Версия 2.02 исправляет проблему.
Патч вводит ограничение CMaxConnections (установлено на 512) и тайм-аут простоя CConnectionTimeoutSecs (установлен на 30 секунд). В качестве временного решения, если немедленное обновление невозможно, рассмотрите возможность размещения сервера за надежным обратным прокси-сервером или брандмауэром веб-приложений (WAF), например nginx, HAProxy или Cloudflare, настроенным для буферизации незавершенных запросов и жесткого соблюдения ограничений и таймаутов подключений.
Показать оригинальное описание (EN)
TinyWeb is a web server (HTTP, HTTPS) written in Delphi for Win32. Versions prior to version 2.02 are vulnerable to a Denial of Service (DoS) attack known as Slowloris. The server spawns a new OS thread for every incoming connection without enforcing a maximum concurrency limit or an appropriate request timeout. An unauthenticated remote attacker can exhaust server concurrency limits and memory by opening numerous connections and sending data exceptionally slowly (e.g. 1 byte every few minutes). Anyone hosting services using TinyWeb is impacted. Version 2.02 fixes the issue. The patch introduces a `CMaxConnections` limit (set to 512) and a `CConnectionTimeoutSecs` idle timeout (set to 30 seconds). As a temporary workaround if upgrading is not immediately possible, consider placing the server behind a robust reverse proxy or Web Application Firewall (WAF) such as nginx, HAProxy, or Cloudflare, configured to buffer incomplete requests and aggressively enforce connection limits and timeouts.
Характеристики атаки
Последствия
Строка CVSS v4.0