Apache Traffic Server(ATS)容易受到各种 HTTP/1.x 和 HTTP/2 攻击,腾讯安全专家建议受影响的用户尽快升级到安全版本。
1
漏洞描述
Apache Traffic Server(ATS)容易受到各种 HTTP/1.x 和 HTTP/2 攻击,腾讯安全专家建议受影响的用户尽快升级到安全版本。
漏洞涉及多个CVE,官方已发布安全版本修复相关漏洞:
CVE:
CVE-2021-27577:对 url 片段的错误处理导致缓存中毒(中危)
CVE-2021-32565:通过在定义非法的 Content-Length字段实现HTTP请求走私(中危)
CVE-2021-32566:HTTP/2 帧的特定序列可能导致 ATS 崩溃(高危)
CVE-2021-32567:多次读取 HTTP/2 帧(中危)
CVE-2021-35474:cachekey 插件中的动态堆栈缓冲区溢出(高危)
Traffic Server 是 Apache 软件基金会 管理的开源 Web 缓存代理服务器,目前为 Apache 顶级项目。
2
受影响的版本
ATS 7.0.0 到 7.1.12
ATS 8.0.0 到 8.1.1
ATS 9.0.0 到 9.0.1
3
安全版本
7.x 用户应升级到 8.1.2 或 9.0.2 以上版本
8.x 用户应升级到 8.1.2 以上版本
9.x 用户应升级到 9.0.2 以上版本
4
漏洞修复建议
腾讯安全专家建议受影响的用户尽快升级到安全版本。
安全版本下载链接:
https://trafficserver.apache.org/downloads
(仅当镜像不可用时,请使用链接中的备份站点)
参考链接:
https://lists.apache.org/thread.html/ra1a41ff92a70d25bf576d7da2590575e8ff430393a3f4a0c34de4277%40%3Cannounce.trafficserver.apache.org%3E