Apache Traffic Server Vulnerabilities Let Attackers Trigger DoS Attack
2026/04/06 CyberSecurityNews — Apache Software Foundation が公開したのは、Apache Traffic Server (ATS) に存在する 2 件の深刻な脆弱性 CVE-2025-58136/CVE-2025-65114 に対処するための緊急のセキュリティ・アップデートである。Apache ATS は、ネットワーク効率を向上させるとともに、エンタープライズ環境における大量の Web トラフィックを処理する高性能な Web プロキシ・キャッシュとして機能する。
新たに発見された 2 つの脆弱性は、メッセージ・ボディ (本文) を含む HTTP リクエストを処理する際の、サーバ側の方式に起因する。これらの脆弱性の悪用に成功したリモート攻撃者は、サービス拒否 (DoS) 状態を引き起こし、企業ネットワークに対する高度かつ複雑な HTTP リクエスト・スマグリング攻撃を可能にする。
Apache Traffic Server の脆弱性
最も深刻な脆弱性 CVE-2025-58136 を悪用する攻撃者は、正当な HTTP POST リクエストのみで ATS アプリケーション全体をクラッシュさせることが可能である。プロキシ・サーバへの標準的なデータ送信手法に存在する脆弱性は、リモート攻撃者にとって極めて悪用しやすい。悪用に成功した攻撃者は、クラッシュにより即座に DoS 攻撃を成立させ、プロキシ・サーバを停止し、当該インフラに依存する正規ユーザーのアクセスを遮断できる。この脆弱性は、Masakazu Kitajo により発見/報告された。
第 2 の脆弱性 CVE-2025-65114 は、不正にチャンク化されたメッセージ・ボディの処理に起因する。この不適切な処理を悪用する攻撃者は、 HTTP リクエスト・スマグリングを実行できる。この高度な攻撃により攻撃者が得るのは、HTTP リクエスト処理順序の操作/セキュリティ制御の回避/ Web キャッシュ・ポイズニング/下流サーバ上の機密データへの不正アクセスなどである。この脆弱性は、Katsutoshi Ikenoya により発見/報告された。
影響範囲
これらの脆弱性は、複数の ATS アクティブ・ブランチに影響する。公式アドバイザリによると、影響対象は以下である:
- ATS 9.0.0 ~ 9.2.12
- ATS 10.0.0 ~ 10.1.1
これらのバージョンを運用する管理者は、直ちに対策を講じ、悪用リスクから環境を保護する必要がある。
対応策
Apache Software Foundation が、すべての管理者に対して強く指摘するのは、最新のセキュア・リリースへのアップグレードである。ATS の 9.x 系は 9.1.13 以降/10.x 系は 10.1.2 以降へと更新する必要がある。
ソフトウェア更新を直ちに適用できない場合には、 DoS 脆弱性 CVE-2025-58136 に対する暫定的な回避策が存在する。proxy.config.http.request_buffer_enabled パラメータを “0” に設定することでクラッシュを防止できる。この設定はデフォルトで “0” であるため、多くの環境では既に保護されている可能性がある。
その一方で、 HTTP リクエスト・スマグリング脆弱性 CVE-2025-65114 に対する回避策は存在しない。したがって、これらの脅威に対処するためには、ソフトウェアの完全なアップグレードのみが有効な対策となる。
訳者後書:Apache Traffic Server (ATS) の問題は、HTTP リクエストのメッセージ・ボディを処理する際の、サーバの仕組みに起因するものです。具体的には、CVE-2025-58136 により、標準的な POST リクエストの処理不備からシステムが停止してしまう点や、 CVE-2025-65114 により、不正な形式のデータ処理をきっかけにリクエストの内容が誤認される点が挙げられます。これらは、通信の根幹に関わる部分の不具合であるため、普段利用する Web プロキシの動作に大きな影響が生じてしまいます。ご利用のチームは、ご注意ください。よろしければ、Apache Traffic Server で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.