Apache Traffic Server 易受各种 HTTP/1.x 和 HTTP/2 攻击风险通告

2021-06-30 11:12:38
Apache Traffic Server(ATS)容易受到各种 HTTP/1.x 和 HTTP/2 攻击,腾讯安全专家建议受影响的用户尽快升级到安全版本。

漏洞描述:

Apache Traffic Server(ATS)容易受到各种 HTTP/1.x 和 HTTP/2 攻击,腾讯安全专家建议受影响的用户尽快升级到安全版本。

 

漏洞涉及多个CVE,官方已发布安全版本修复相关漏洞:

 

CVE:

CVE-2021-27577:对 url 片段的错误处理导致缓存中毒(中危)

CVE-2021-32565:通过在定义非法的 Content-Length字段实现HTTP请求走私(中危)

CVE-2021-32566:HTTP/2 帧的特定序列可能导致 ATS 崩溃(高危)

CVE-2021-32567:多次读取 HTTP/2 帧(中危)

CVE-2021-35474:cachekey 插件中的动态堆栈缓冲区溢出(高危)

 

Traffic Server 是 Apache 软件基金会 管理的开源 Web 缓存代理服务器,目前为 Apache 顶级项目。

 

受影响的版本:

ATS 7.0.0 到 7.1.12

ATS 8.0.0 到 8.1.1

ATS 9.0.0 到 9.0.1

 

安全版本:

7.x 用户应升级到 8.1.2 或 9.0.2 以上版本

8.x 用户应升级到 8.1.2 以上版本

9.x 用户应升级到 9.0.2 以上版本

 

安全版本下载链接:

https://trafficserver.apache.org/downloads

(仅当镜像不可用时,请使用链接中的备份站点)

 

参考链接:

https://lists.apache.org/thread.html/ra1a41ff92a70d25bf576d7da2590575e8ff430393a3f4a0c34de4277%40%3Cannounce.trafficserver.apache.org%3E



扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


 

最新资讯