Apache Traffic Server Patches Critical Vulnerabilities in Latest Release
2024/11/17 SecurityOnline — Apache Software Foundation は、Apache Traffic Server に存在する3つの重大な脆弱性に対処するための、セキュリティ・アップデートをリリースした。 これらの脆弱性は、Apache Traffic Server 9.0.0〜9.2.5/10.0.0〜10.0.1 に存在するものであり、その影響は、キャッシュ・ポイズニングから特権の昇格まで多岐にわたる。
CVE-2024-38479 (CVSS 7.5):キャッシュ・キー・プラグインの脆弱性
この脆弱性の悪用に成功した攻撃者は、キャッシュ・キー・プラグインの操作が可能となり、キャッシュ・ポイズニング攻撃を引き起こす可能性を手にする。具体的に言うと、サーバのキャッシュに悪意のコンテンツを注入する攻撃者は、フィッシング・サイトへのユーザーのリダイレクトや、マルウェア配信などの可能にする。
CVE-2024-50305 (CVSS 7.5):Host フィールド値によるサービス運用妨害の脆弱性
特別に細工された “Host” フィールド値により、Apache Traffic Server がクラッシュする可能性がある。この脆弱性が利用されると、Web サイトの可用性が損なわれ、正規ユーザーに影響が及ぶ可能性がある。
CVE-2024-50306 (CVSS 9.1):起動時の特権昇格
この脆弱性は、未チェックの戻り値に起因するものであり、Apache Traffic Server の再起動時であっても、攻撃者に対して高特権を保持を許す恐れがある。そして、この脆弱性の悪用に成功した攻撃者は、サーバとデータに対する大幅な制御を可能にする。
緩和策
Apache Software Foundation が、すべてのユーザーに対して強く推奨するのは、この問題が修正されたバージョン (9.2.6/ 10.0.2 以降) へと、ただちに更新することだ。
Apache Traffic Server の3件の脆弱性が FIX しました。このブログでは初登場の Apache Traffic Server なので、調べてみたところ、「高速/スケーラブル/拡張可能な 、HTTP/1.1 および HTTP/2 準拠のキャッシュ・プロキシ・サーバである。以前は商用製品だったが、Yahoo! から Apache Foundation に寄贈され、オープンソースとなった。現在は、いくつかの主要な CDN やコンテンツ所有者により使用されている」と紹介されていました。よろしければ、Apache で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.