[TLP:CLEAR] Apache Traffic Server opravuje 2 zranitelnosti

Apache verzemi 10.0.6 a 9.2.11 opravuje dvě zranitelnosti v produktu Apache Traffic Server [1]. Opravené verze poskytují pouze konfigurační možnosti k mitigaci těchto zranitelností – jejich účinnost závisí na správném nastavení ze strany uživatele.

Apache Traffic Server - DoS (CVE-2025-49763) CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je v důsledku chybějícího omezení hloubky vnoření (maximum inclusion depth) v ESI pluginu umožněno vykonat útok DoS [1]. Zranitelnost lze mitigovat omezením hloubky pomocí nového nastavení '--max-inclusion-depth'.

Zranitelnost se nachází v produktu Apache Traffic Server ve verzích (>=9.0.0 AND <=9.2.10) OR (>=10.0.0 AND <=10.0.5).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 19. 6. 2025.

Apache Traffic Server - unauthorized access (CVE-2025-31698) CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je v důsledku nesprávného zpracování klientské IP adresy při konfiguraci serveru v 'ip_allow.config' nebo 'remap.config' s využitím PROXY protokolu umožněno získat neoprávněný přístup [1][3]. Zranitelnost lze mitigovat pomocí nového nastavení 'proxy.config.acl.subjects' určujícího IP adresu, která bude pro vyhodnocení ACL pravidel použita.

Zranitelnost se nachází v produktu Apache Traffic Server ve verzích (>=9.0.0 AND <=9.2.10) OR (>=10.0.0 AND <=10.0.5).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Více informací:

Zranitelnost byla veřejně oznámena 19. 6. 2025.


Za CESNET-CERTS Michaela Ručková dne 20. 6. 2025.

CESNET CERTS Logo