[TLP:CLEAR] Apache Traffic Server opravuje 2 zranitelnosti
Apache verzemi 10.0.6 a 9.2.11 opravuje dvě zranitelnosti v produktu Apache Traffic Server [1]. Opravené verze poskytují pouze konfigurační možnosti k mitigaci těchto zranitelností – jejich účinnost závisí na správném nastavení ze strany uživatele.
Neautentizovanému vzdálenému útočníkovi je v důsledku chybějícího omezení hloubky vnoření (maximum inclusion depth) v ESI pluginu umožněno vykonat útok DoS [1]. Zranitelnost lze mitigovat omezením hloubky pomocí nového nastavení '--max-inclusion-depth'.
Zranitelnost se nachází v produktu Apache Traffic Server ve verzích (>=9.0.0 AND <=9.2.10) OR (>=10.0.0 AND <=10.0.5).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-49763 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zranitelnost byla veřejně oznámena 19. 6. 2025.
Neautentizovanému vzdálenému útočníkovi je v důsledku nesprávného zpracování klientské IP adresy při konfiguraci serveru v 'ip_allow.config' nebo 'remap.config' s využitím PROXY protokolu umožněno získat neoprávněný přístup [1][3]. Zranitelnost lze mitigovat pomocí nového nastavení 'proxy.config.acl.subjects' určujícího IP adresu, která bude pro vyhodnocení ACL pravidel použita.
Zranitelnost se nachází v produktu Apache Traffic Server ve verzích (>=9.0.0 AND <=9.2.10) OR (>=10.0.0 AND <=10.0.5).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2025-31698 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zranitelnost byla veřejně oznámena 19. 6. 2025.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 20. 6. 2025.