Apache Traffic Server の脆弱性 CVE-2025-49763/31698 がFIX:ESI Plugin と ACL の問題

Apache Traffic Server Vulnerability Allows DoS Attacks Through Memory Exhaustion

2025/06/19 gbhackers — Apache Traffic Server (ATS) に発見された脆弱性が、エンタープライズ・ユーザーやクラウド・プロバイダーの間で、深刻な懸念を引き起こしている。Edge Side Include (ESI) プラグインの欠陥を悪用する攻撃者は、サーバのメモリ枯渇を引き起こすことでサービス拒否 (DoS) 攻撃を仕掛けることが可能となる。この脆弱性 CVE-2025-49763 は、ATS の複数バージョンに影響を及ぼすものであるため、Apache Software Foundation は緊急の緩和策ガイダンスを発表した。

脆弱性の概要

脆弱性 CVE-2025-49763 は、Web コンテンツの動的なアセンブリを、エッジにおいて可能にする ESI プラグインに存在する。

その ESI の、悪意のあるリクエストを作成する攻撃者は、ESI インクルードの再帰的な処理が行われるように仕向け、利用可能なメモリの枯渇へと追い込むことができる。その結果として DoS 状態が発生し、重要なWebインフラがオフラインになる可能性が生じる。

CVE IDDescriptionAffected VersionsReporterMitigation
CVE-2025-49763Remote DoS via memory exhaustion in ESI Plugin9.0.0–9.2.10, 10.0.0–10.0.5Yohann SillamUpgrade to 9.2.11/10.0.6+ and configure –max-inclusion-depth

この問題は Yohann Sillam により報告され、関連する ACL の脆弱性 CVE-2025-31698 は Masakazu Kitjo により報告された。

これらの脆弱性は、Apache Software Foundation により認識されており、すでにリリースされたアップデートとコンフィグ・オプションにより、ユーザーはリスクを軽減できる。

影響を受けるバージョンとリスク

この脆弱性が影響を及ぼす範囲は、以下の ATS バージョンである。

  • 9.0.0~9.2.10
  • 10.0.0~10.0.5

これらのバージョンを実行している組織が、ESI プラグインの不適切なコンフィグにより、ESI のインクルード深度を制限している場合には、リスクに直面することになる。

緩和策と推奨事項

すでに Apache は、パッチ適用済みのバージョン 9.2.11/10.0.6 をリリースし、この脆弱性に対処している。これらのバージョンは、自動的な修正を行うものではなく、新たなコンフィグを導入するものだ。ユーザーにとって必要なことは、以下の対策を講じることだ。

  • ATS 9.2.11/10.0.6 へとアップグレードする。
  • 新しい “–max-inclusion-depth” コンフィグを用いて、ESI プラグインを設定する。デフォルト値は “3” であり、無限/過剰なインクルード・ループを防ぐのに役立つ。
  • PROXY プロトコル設定を確認し、新しい proxy.config.acl.subjects オプションを使用して、ACL ルールの対象となる IP アドレスを制御することで、関連するアクセス制御のリスクを軽減する。

管理者に対して強く推奨されるのは、サーバ・コンフィグの確認と、新しい設定の適用により、メモリ枯渇攻撃からデプロイメントを保護することだ。

この脆弱性が緩和されずに放置されると、リモート攻撃者に対して、ATS サーバの応答不能/Web サービスの中断/パフォーマンスの低下などを許し、影響を受ける組織に大きな損失が生じる可能性がある。

この脆弱性が浮き彫りにするのは、パッチ適用済みのソフトウェア・バージョンにアップグレードに加えて、ベンダーが導入した新しいセキュリティ設定を積極的にコンフィグすることの重要性である。

Apache Traffic Server を利用している組織は、このメモリ枯渇リスクを軽減し、Webインフラの耐障害性を確保するために、迅速に行動する必要がある。

Apache Traffic Server の脆弱性 CVE-2025-49763 は、ESI プラグインの再帰的インクルードによるメモリ枯渇という、サービス拒否型の典型例のようです。単にアップグレードするだけでは不十分であり、新たな設定項目を手動で適用する必要があると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Apache Traffic Server で検索も、ご参照ください。