Yakın bildirim
Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.
Bir daha gösterme.
Açık kaynaklı bir proxy sunucusu olan Apache Traffic Server'da (ATS) iki güvenlik boşluğu keşfedildi. Erişim kısıtlamalarından kaçınmak veya olumsuzlama hizmeti saldırıları yapmak için saldırganları kötüye kullanabilirsiniz. Güncellenmiş kaynaklar zayıf noktaları onarmaya hazırdır.
Geliştiriciler, Ox Gizli Posta Listesinde güvenlik kayıpları hakkında bilgi yayınladılar. Zayıf bir nokta proxy protokolünü etkiler. ATS, Access'e yetkisiz erişim gerçekleştirebilen Access Denetimlerini (ACLS) kullanmak için IP istemci adresini kullanmaz (CVE-2025-31698, CVSS değeri yok, risk değerlendirmesi yok). Güncellenmiş yazılım artık “ip_allow.config” ve “remap.config” seçeneklerinin ACL'si için hangi IP adresinin kullanıldığını belirtmek için yeni bir yapılandırma seçeneği (proxy.config.acl.subjects) sunuyor ve güvenilir olarak sınıflandırılıyor.
İkinci güvenlik açığı eklentiyi etkiler (kenar içerir). Saldırganlar durumun olumsuzlanmasına neden olabilir, çünkü eklenti tüm belleği kullanabilir. Görünüşe göre sonsuz bir inklüzyon girdisi eklemek mümkündür (CVE-2025-49763, CVSS yok, risk değerlendirmesi yok). Yazılım güncellemesi, eklenti için yeni bir ayar ekler, varsayılan değeri 3 ile “-max-clusion-deepth” parametresi ekler. Bu, sonsuz dahil edilmeyi önlemelidir.
İlgili Yazılım Sürümleri
Apache Trafik Sunucusu 9.0.0 ila 9.2.10 ve 10.0.0 ila 10.0.5 arası sürümlerde; Düzeltmeler 9.2.11 ve 10.0.6 veya daha yakın sürümleri içerir. Zayıf noktaları onarmak için yöneticilerin yeni seçenekleri yapılandırması gerekir; Bununla birlikte, ISI eklentisinin dahil edilmesinin derinliği için standart değer yeterli olmalıdır.
Federal Bilgi Teknolojisi Ofisi (BSI) CERT Derneği, güvenlik boşlukları yoluyla risk değerlendirmesine sahiptir. Bund-Bund'un güvenlik bildirimine göre 8.2Ne risk “yüksek“BT yöneticilerinin muhabirleri bu nedenle Apache Trafik Sunucusunun yeni sürümlerini hızlı bir şekilde güncellemeli ve iki işlevi kullanıyorlarsa yeni seçenekleri yapılandırmalıdır.
(DMK)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!
Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.
Bir daha gösterme.
Açık kaynaklı bir proxy sunucusu olan Apache Traffic Server'da (ATS) iki güvenlik boşluğu keşfedildi. Erişim kısıtlamalarından kaçınmak veya olumsuzlama hizmeti saldırıları yapmak için saldırganları kötüye kullanabilirsiniz. Güncellenmiş kaynaklar zayıf noktaları onarmaya hazırdır.
Geliştiriciler, Ox Gizli Posta Listesinde güvenlik kayıpları hakkında bilgi yayınladılar. Zayıf bir nokta proxy protokolünü etkiler. ATS, Access'e yetkisiz erişim gerçekleştirebilen Access Denetimlerini (ACLS) kullanmak için IP istemci adresini kullanmaz (CVE-2025-31698, CVSS değeri yok, risk değerlendirmesi yok). Güncellenmiş yazılım artık “ip_allow.config” ve “remap.config” seçeneklerinin ACL'si için hangi IP adresinin kullanıldığını belirtmek için yeni bir yapılandırma seçeneği (proxy.config.acl.subjects) sunuyor ve güvenilir olarak sınıflandırılıyor.
İkinci güvenlik açığı eklentiyi etkiler (kenar içerir). Saldırganlar durumun olumsuzlanmasına neden olabilir, çünkü eklenti tüm belleği kullanabilir. Görünüşe göre sonsuz bir inklüzyon girdisi eklemek mümkündür (CVE-2025-49763, CVSS yok, risk değerlendirmesi yok). Yazılım güncellemesi, eklenti için yeni bir ayar ekler, varsayılan değeri 3 ile “-max-clusion-deepth” parametresi ekler. Bu, sonsuz dahil edilmeyi önlemelidir.
İlgili Yazılım Sürümleri
Apache Trafik Sunucusu 9.0.0 ila 9.2.10 ve 10.0.0 ila 10.0.5 arası sürümlerde; Düzeltmeler 9.2.11 ve 10.0.6 veya daha yakın sürümleri içerir. Zayıf noktaları onarmak için yöneticilerin yeni seçenekleri yapılandırması gerekir; Bununla birlikte, ISI eklentisinin dahil edilmesinin derinliği için standart değer yeterli olmalıdır.
Federal Bilgi Teknolojisi Ofisi (BSI) CERT Derneği, güvenlik boşlukları yoluyla risk değerlendirmesine sahiptir. Bund-Bund'un güvenlik bildirimine göre 8.2Ne risk “yüksek“BT yöneticilerinin muhabirleri bu nedenle Apache Trafik Sunucusunun yeni sürümlerini hızlı bir şekilde güncellemeli ve iki işlevi kullanıyorlarsa yeni seçenekleri yapılandırmalıdır.
(DMK)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!