Tinyproxy до 1.11.3 уязвим к десинхронизации анализа HTTP-запросов из-за сравнения заголовка Transfer-Encoding с учетом регистра в src/reqs.c. Функция is_chunked_transfer() использует strcmp() для сравнения значения заголовка со значением «chunked», хотя в RFC 7230 указано, что имена кодирования передачи нечувствительны к регистру. Отправляя запрос с Transfer-Encoding: Chunked, удаленный злоумышленник, не прошедший проверку подлинности, может привести к тому, что Tinyproxy ошибочно интерпретирует запрос как не имеющий тела.
В этом состоянии Tinyproxy устанавливает для content_length.client значение -1, пропускает pull_client_data_chunked(), пересылает заголовки запроса вверх по течению и переходит к пересылке необработанных TCP-сообщений с помощью Relay_connection(), в то время как непрочитанные данные тела остаются в буфере. Это приводит к несогласованному состоянию запроса между Tinyproxy и внутренними серверами. Серверные части, соответствующие RFC (например, Node.js, Nginx), будут продолжать ожидать фрагментированных данных тела, что приводит к зависанию соединений на неопределенный срок.
Такое поведение обеспечивает отказ в обслуживании на уровне приложения из-за исчерпания серверной службы. Кроме того, в развертываниях, где Tinyproxy используется для проверки, фильтрации или обеспечения безопасности тела запроса, непрочитанное тело может быть перенаправлено без надлежащей проверки, что может привести к потенциальному обходу контроля безопасности.
Показать оригинальное описание (EN)
Tinyproxy through 1.11.3 is vulnerable to HTTP request parsing desynchronization due to a case-sensitive comparison of the Transfer-Encoding header in src/reqs.c. The is_chunked_transfer() function uses strcmp() to compare the header value against "chunked", even though RFC 7230 specifies that transfer-coding names are case-insensitive. By sending a request with Transfer-Encoding: Chunked, an unauthenticated remote attacker can cause Tinyproxy to misinterpret the request as having no body. In this state, Tinyproxy sets content_length.client to -1, skips pull_client_data_chunked(), forwards request headers upstream, and transitions into relay_connection() raw TCP forwarding while unread body data remains buffered. This leads to inconsistent request state between Tinyproxy and backend servers. RFC-compliant backends (e.g., Node.js, Nginx) will continue waiting for chunked body data, causing connections to hang indefinitely. This behavior enables application-level denial of service through backend worker exhaustion. Additionally, in deployments where Tinyproxy is used for request-body inspection, filtering, or security enforcement, the unread body may be forwarded without proper inspection, resulting in potential security control bypass.
Характеристики атаки
Последствия
Строка CVSS v4.0