[TLP:CLEAR] Apache Traffic Server opravuje 4 zranitelnosti
Apache verzemi 10.0.4 a 9.2.9 opravuje 4 zranitelnosti v produktu Apache Traffic Server [1].
Autentizovanému vzdálenému útočníkovi je kvůli nesprávné validaci vstupu ve zpracování pipeliningu po rozděleném těle zprávy (chunked message body) umožněno odeslat na server podvržený požadavek a obejít bezpečnostní opatření [1][2].
Zranitelnost se nachází v produktu Apache Traffic Server ve verzích (>=8.0.0 AND <=8.1.11) OR (>=9.0.0 AND <=9.2.8) OR (>=10.0.0 AND <=10.0.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Více informací:
- CVE-2024-38311 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 3. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci přístupu intercept pluginů na serveru potenciálně umožněno provádět neoprávněné operace [1][3][4].
Zranitelnost se nachází v produktu Apache Traffic Server ve verzích (>=9.0.0 AND <=9.2.8) OR (>=10.0.0 AND <=10.0.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Více informací:
- CVE-2024-56195 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 3. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli nekompatibilitě některých Access Control List (ACL) se staršími verzemi potenciálně umožněno získat neoprávněný přístup [1][5].
Zranitelnost se nachází v produktu Apache Traffic Server ve verzích >=10.0.0 AND <=10.0.3.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Více informací:
- CVE-2024-56196 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 3. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli nesprávnému zpracování hlavičky Expect umožněno nadměrně alokovat systémové prostředky a potenciálně vykonat útok DoS [1][6][7].
Zranitelnost se nachází v produktu Apache Traffic Server ve verzích (>=9.0.0 AND <=9.2.8) OR (>=10.0.0 AND <=10.0.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
Více informací:
- CVE-2024-56202 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-440: Expected Behavior Violation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 3. 2025.
Odkazy
- [1] https://lists.apache.org/thread/btofzws2yqskk2n7f01r3l1819x01023
- [2] https://nvd.nist.gov/vuln/detail/CVE-2024-38311
- [3] https://nvd.nist.gov/vuln/detail/CVE-2024-56195
- [4] https://docs.trafficserver.apache.org/en/latest/developer-guide/plugins/hooks-and-transactions/intercepting-http-transactions.en.html
- [5] https://nvd.nist.gov/vuln/detail/CVE-2024-56196
- [6] https://nvd.nist.gov/vuln/detail/CVE-2024-56202
- [7] https://docs.trafficserver.apache.org/en/8.1.x/appendices/faq.en.html#support-for-http-expect-header
Za CESNET-CERTS Michaela Ručková dne 10. 3. 2025.
