Apache Traffic Server Patches Multiple Security Vulnerabilities
2025/03/09 SecurityOnline — Apache Traffic Server プロジェクトがリリースしたのは、人気の Web プロキシ・キャッシュの複数バージョンに影響を及ぼす、いくつかのセキュリティ脆弱性に対処するためのアップデートである。これらの脆弱性は、リクエスト・スマグリングから不適切なアクセス制御にまで至るものであり、対象ソフトウェアに依存するネットワークのセキュリティとパフォーマンスに影響を及ぼす可能性がある。
注目すべき脆弱性 CVE-2024-38311 は、チャンク化されたメッセージ本文に続く、パイプライン処理を介したリクエスト・スマグリングを許すものだ。この、不適切な入力検証に起因する問題により、攻撃者はネットワーク・トラフィックを操作し、機密情報への不正アクセスの機会を得る。
その一方で、不適切なアクセス制御の脆弱性である、CVE-2024-56195/CVE-2024-56196 が特定された。CVE-2024-56195 は、適切なアクセス制御の欠如が判明したインターセプト・プラグインに影響するものであり、ネットワーク・トラフィックの不正な変更の可能性を生じる。 もう1つの CVE-2024-56196 は、Access Control Lists (ACLs) に関連するものであり、Apache Traffic Server の旧バージョンとの互換性に影響を及ぼす。
最後の脆弱性 CVE-2024-56202 は、Expect ヘッダー・フィールドに関連する、予期される動作違反の脆弱性である。この脆弱性を悪用する攻撃者は、不当にリソースを保持し、サービス拒否状態を引き起こせるという。
すでに Apache Traffic Server プロジェクトは、バージョン 9.2.9/10.0.4 をリリースし、これらの脆弱性を軽減している。ユーザーに対して強く推奨されるのは、速やかなアップグレードとなる。この更新は、すべての特定されたセキュリティ欠陥に対する修正を取り込むものであり、ネットワーク操作のセキュリティと効率性を、継続的に確保するものとなっている。
キャッシュ・プロキシ・サーバである、Apache Traffic Server の4件の脆弱性が FIX しました。ご利用のチームは、アップデートをご確認ください。この製品に関連する直近の脆弱性は、2024/11/17 の「Apache Traffic Server の脆弱性 CVE-2024-38479/50305/50306 が FIX:直ちにアップデートを!」です。よろしければ、Apache で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.